Cibersegurança

O ransomware Cephalus, identificado pela primeira vez em junho de 2025, representa uma nova e crescente ameaça no cenário de cibersegurança. Este grupo de atacantes, motivado financeiramente, utiliza táticas sofisticadas para invadir organizações e criptografar dados críticos. A principal vulnerabilidade explorada é a falta de autenticação multifatorial em credenciais do Protocolo de Área de Trabalho Remota (RDP), tornando as empresas alvos fáceis. Após obter acesso inicial, os atacantes realizam exfiltração de dados antes de implantar seu ransomware personalizado.

O Google Maps implementou uma nova funcionalidade que permite aos comerciantes reportarem tentativas de extorsão ligadas a avaliações falsas. Com o aumento de táticas de ‘review-bombing’, golpistas inundam perfis de empresas com avaliações negativas e, em seguida, contatam os proprietários exigindo pagamento para cessar a campanha de difamação. Essa prática prejudica a reputação de negócios legítimos, especialmente pequenos empreendimentos que dependem de avaliações para atrair clientes. O novo recurso de denúncia oferece um canal direto para que os comerciantes informem o Google sobre essas tentativas, permitindo uma investigação mais rápida e a remoção de conteúdo malicioso. O Google recomenda que os proprietários não interajam com os extorsionistas e preservem evidências, como capturas de tela e registros de comunicação, para fortalecer suas denúncias. Essa iniciativa visa não apenas proteger os negócios, mas também desmantelar redes de extorsão organizadas.

O LockBit 5.0, uma variante de ransomware como serviço (RaaS), foi analisado em um relatório técnico da Flashpoint, revelando um avanço significativo em suas capacidades. Lançado em setembro de 2025, o LockBit 5.0 apresenta uma arquitetura de implantação modular em duas etapas, projetada para maximizar a evasão de sistemas de detecção modernos. A primeira etapa atua como um carregador furtivo, utilizando técnicas de ofuscação de controle de fluxo e resolução dinâmica de APIs para evitar a detecção. O carregador também realiza a desativação de bibliotecas de segurança, permitindo que o payload seja injetado em processos sem acionar alertas de segurança.

O malware Herodotus, um novo trojan bancário para Android, está circulando como uma oferta de Malware-as-a-Service (MaaS), explorando engenharia social e abuso de permissões para contornar soluções de segurança tradicionais. Ele se espalha por campanhas de phishing via SMS, redirecionando as vítimas para páginas de download falsas, onde instalam o APK malicioso fora da Play Store oficial. Após a instalação e concessão de permissões críticas, o Herodotus assume o controle total do dispositivo, realizando operações bancárias não autorizadas enquanto os usuários estão logados em suas contas financeiras.

O artigo aborda o ciclo de comprometimento de credenciais, destacando como usuários, como Sarah do departamento de contabilidade, podem inadvertidamente entregar suas informações de login a cibercriminosos através de e-mails de phishing. O texto descreve as etapas desse ciclo, desde a criação de credenciais pelos usuários até a exploração ativa por hackers, que podem levar a roubo de dados e ataques de ransomware. Os vetores comuns de comprometimento incluem campanhas de phishing, reutilização de senhas e vazamentos de chaves de API. O impacto real de um comprometimento de credenciais pode ser devastador, resultando em invasões de contas, roubo de dados e aumento de custos operacionais. O artigo enfatiza a importância de ações proativas para detectar credenciais comprometidas, como o uso de ferramentas como o Credential Checker da Outpost24, que ajuda a identificar se as credenciais de uma empresa estão expostas em repositórios de vazamentos. A urgência em proteger as credenciais é destacada, considerando que muitas podem já estar comprometidas sem o conhecimento da organização.

Um conjunto de nove pacotes maliciosos do NuGet foi identificado como capaz de implantar cargas úteis com atraso para sabotar operações de banco de dados e corromper sistemas de controle industrial. Publicados entre 2023 e 2024 por um usuário identificado como ‘shanhai666’, esses pacotes foram baixados quase 9.500 vezes. O pacote mais perigoso, Sharp7Extend, visa controladores lógicos programáveis (PLCs) industriais, utilizando dois mecanismos de sabotagem: a terminação aleatória de processos e falhas silenciosas de gravação que ocorrem entre 30 a 90 minutos após a instalação. Os pacotes maliciosos foram projetados para ativar códigos maliciosos em datas específicas, em 2027 e 2028, dificultando a resposta a incidentes e a investigação forense. A análise do código-fonte sugere que o autor pode ter origem chinesa, e a combinação de técnicas sofisticadas torna este ataque uma preocupação significativa para desenvolvedores e empresas que utilizam essas bibliotecas. A remoção dos pacotes do NuGet não elimina o risco, pois muitos desenvolvedores podem não estar cientes da introdução do malware em seus projetos.

Durante o Seattle Security Campus Tour, a Microsoft apresentou sua visão sobre como a inteligência artificial (IA) e a colaboração global estão moldando o futuro da segurança digital. Frank X. Shaw, Diretor de Comunicação Global da Microsoft, destacou que a confiança é fundamental para a inovação, introduzindo o Secure Future Initiative (SFI), um programa que orienta o desenvolvimento de produtos e a resposta a incidentes. Vasu Jakkal, vice-presidente corporativa de Segurança, enfatizou que a segurança deve ser parte integrante de todos os processos da empresa, processando diariamente mais de 100 trilhões de sinais de segurança. A automação na detecção de falhas humanas foi exemplificada por um incidente em que um token interno foi exposto no GitHub, gerando um alerta imediato. Tori Westerhoff, do Red Team de IA, revelou que sua equipe simula ataques aos modelos de IA da Microsoft, explorando vulnerabilidades e comportamentos inesperados. Por fim, Herain Oberoi apresentou uma plataforma de defesa integrada que utiliza IA para proteger dados e identidades, ressaltando a importância do equilíbrio entre autonomia da IA e responsabilidade humana. A segurança, segundo os executivos, não é apenas um produto, mas a base para inovação e liberdade digital.

Durante o Microsoft Security Campus Tour, a Digital Crimes Unit (DCU) da Microsoft foi apresentada como um núcleo global dedicado à investigação de crimes digitais. Sob a liderança de Steve Masada, a equipe atua em três frentes principais: interromper infraestruturas criminosas, fornecer suporte jurídico e orientar empresas e governos em resposta a incidentes. A DCU monitora centenas de grupos de hackers e analisa bilhões de sinais de segurança diariamente, utilizando dados de produtos como Windows e Azure para agir de forma preventiva. Além disso, a equipe realiza simulações de crise cibernética para preparar empresas para possíveis ataques. Richard Domingues Boscovich, advogado sênior da DCU, destacou um caso recente de uso indevido de inteligência artificial generativa, onde imagens difamatórias foram criadas e disseminadas. A investigação levou à identificação dos responsáveis e à aplicação de ações legais. A DCU busca neutralizar o ecossistema criminoso e tornar o cibercrime mais difícil e caro. A abordagem da Microsoft enfatiza a antecipação de ameaças e a utilização de tecnologia como ferramenta de defesa, consolidando a segurança digital como um pilar essencial da inovação.

Em julho de 2025, a empresa de cibersegurança Doctor Web foi acionada por uma organização estatal russa devido a atividades suspeitas de spam originadas de seus e-mails internos. Uma investigação forense revelou que a organização foi alvo de uma campanha de ciberespionagem sofisticada pelo grupo de hackers conhecido como Cavalry Werewolf. Os atacantes utilizaram anexos de phishing com variantes de malware para infiltrar a rede governamental e coletar dados sensíveis, incluindo documentos internos e detalhes de configuração da rede. O malware principal, BackDoor.ShellNET.1, estabeleceu conexões de shell reverso com servidores remotos, permitindo a execução de comandos. Após garantir o acesso, os invasores baixaram cargas adicionais usando ferramentas legítimas do sistema, como BITSADMIN, para escalar a intrusão e estabelecer persistência. A investigação revelou um vasto arsenal de ferramentas utilizadas, incluindo trojans e backdoors que permitiram a execução remota de comandos e movimentação lateral na rede. O grupo Cavalry Werewolf também se destacou pelo uso de comunicação externa e backdoors controlados via Telegram, mantendo acesso prolongado à rede comprometida. A análise mapeou as técnicas utilizadas ao framework MITRE ATT&CK, destacando a gravidade e a complexidade do ataque.

Um recente ataque a uma organização sem fins lucrativos nos Estados Unidos revelou um foco renovado de grupos de hackers alinhados ao Estado chinês em entidades que influenciam a política do governo americano. O ataque, que ocorreu ao longo de várias semanas em abril de 2025, destacou as táticas avançadas utilizadas por esses grupos, como APT41 e Kelp, que empregaram uma variedade de métodos para comprometer servidores vulneráveis. Os hackers utilizaram explorações conhecidas, como a injeção OGNL da Atlassian e a vulnerabilidade Log4j, para identificar e invadir sistemas.

Uma nova campanha de malware, composta por LeakyInjector e LeakyStealer, foi descoberta, visando roubar ativos em criptomoedas e dados de navegação dos usuários. O LeakyInjector, um executável de 64 bits assinado com um certificado digital válido, consegue contornar a segurança ao ser executado. Ele injeta o LeakyStealer na memória, que utiliza criptografia ChaCha20 para proteger seu código. O LeakyStealer estabelece persistência no sistema e coleta informações como nomes de usuário e dados de domínios, conectando-se a um servidor de comando e controle (C2) para exfiltrar dados. O malware também possui um motor polimórfico que dificulta a detecção estática, alterando bytes de memória durante a execução. Ele busca por carteiras de criptomoedas populares e extensões de navegadores, além de exfiltrar o histórico de navegação de vários navegadores. A campanha é considerada sofisticada, com um uso abusivo de assinatura de código e mecanismos furtivos de exfiltração, exigindo atenção imediata das equipes de resposta a incidentes.

Pesquisadores de cibersegurança da Sekoia identificaram uma campanha de phishing sofisticada que visa clientes da indústria de hospitalidade em todo o mundo, utilizando contas de hotéis comprometidas do Booking.com. Os atacantes exploram dados de clientes roubados, como identificadores pessoais e detalhes de reservas, para realizar fraudes bancárias altamente credíveis desde abril de 2025.

A metodologia do ataque é de múltiplas etapas, começando com e-mails maliciosos enviados a administradores de hotéis a partir de contas de e-mail corporativas comprometidas. Esses e-mails imitam comunicações do Booking.com, com linhas de assunto que mencionam solicitações de clientes e códigos de rastreamento, enganando os destinatários. Os links contidos nos e-mails redirecionam as vítimas para páginas falsas que imitam o Booking.com, onde são induzidas a executar comandos do PowerShell disfarçados, resultando na instalação do malware PureRAT em seus sistemas.

Pesquisadores de cibersegurança identificaram uma extensão maliciosa para o Visual Studio Code (VS Code) chamada ‘susvsex’, que possui capacidades básicas de ransomware. Criada com auxílio de inteligência artificial, a extensão foi carregada em 5 de novembro de 2025, e não esconde suas funcionalidades maliciosas. Ao ser ativada, ela compacta, faz upload e criptografa arquivos de diretórios específicos do sistema operacional, como C:\Users\Public\testing no Windows e /tmp/testing no macOS. A Microsoft removeu a extensão do Marketplace do VS Code no dia seguinte à sua descoberta. Além da criptografia, a extensão utiliza um repositório privado no GitHub como canal de comando e controle (C2), onde busca novas instruções. O desenvolvedor, que se apresenta como residente de Baku, Azerbaijão, deixou evidências que podem facilitar a exploração por outros atacantes. Em um incidente separado, 17 pacotes npm foram encontrados disfarçados como kits de desenvolvimento, mas que executam o infostealer Vidar em sistemas infectados. Esses pacotes foram baixados mais de 2.240 vezes antes de serem removidos, destacando a necessidade de vigilância constante na cadeia de suprimentos de software.

Um estudo do Projeto Brief revelou que o ecossistema da Meta, que inclui Facebook, Instagram e WhatsApp, está veiculando anúncios fraudulentos que afetam principalmente famílias de baixa renda e beneficiários de programas sociais, como o Bolsa Família. A pesquisa analisou 16 mil anúncios ativos e encontrou que 52% deles apresentavam indícios de golpe, com 9% confirmados como fraudulentos. Os golpistas focam em oferecer empréstimos e créditos consignados, utilizando narrativas emocionais para atrair vítimas. A Meta, ao permitir esses anúncios, não apenas tolera a fraude, mas também lucra com os cliques, mesmo que estes levem a golpes. A pesquisa destaca a necessidade urgente de regulamentação, como o Digital Services Act da União Europeia, para responsabilizar as plataformas digitais. No Brasil, a Lei Geral de Proteção de Dados (LGPD) parece insuficiente para conter essas fraudes, que resultaram em prejuízos de mais de R$ 40 bilhões para 56 milhões de brasileiros em 2024. O relatório conclui que a falta de moderação eficaz nas plataformas contribui para a proliferação de fraudes digitais.

Uma vulnerabilidade crítica no Windows, identificada como CVE-2025-9491, tem sido explorada por cibercriminosos nos últimos oito anos, levantando preocupações sobre a segurança do sistema operacional. Essa falha, que afeta o processamento de arquivos LNK, permite que hackers disseminem malware, como trojans de acesso remoto, através de ataques de phishing. Recentemente, um grupo de cibercriminosos tem direcionado suas ações a diplomatas em países europeus, como Bélgica, Hungria e Itália, utilizando essa vulnerabilidade para espionagem digital. Apesar de a Microsoft ter sido informada sobre a falha, não há indícios de que a empresa esteja trabalhando em uma correção, o que gera incertezas sobre a segurança dos usuários. Enquanto isso, recomenda-se que os usuários permaneçam vigilantes quanto a e-mails suspeitos e evitem abrir arquivos LNK de remetentes desconhecidos. A situação é alarmante, especialmente considerando a crescente sofisticação dos ataques digitais e a necessidade de proteção robusta em um cenário de ameaças cibernéticas em evolução.

Uma operação conjunta da Polícia Civil do Distrito Federal e de São Paulo resultou na prisão de seis pessoas envolvidas no golpe do ‘falso advogado’, que já causou um prejuízo superior a R$ 8 milhões a cerca de 100 vítimas em diferentes estados brasileiros, incluindo São Paulo, Brasília e Minas Gerais. O golpe consiste na abordagem de criminosos que se passam por advogados, alegando que a vítima ganhou uma ação judicial e solicitando transferências bancárias urgentes para cobrir custos fictícios. A investigação, que durou seis meses, revelou que a quadrilha utilizava ferramentas tecnológicas para selecionar alvos e aplicar suas fraudes. Além disso, a Ordem dos Advogados do Brasil (OAB-RJ) entrou com uma ação civil contra a Meta, responsável pelo WhatsApp, devido a falhas na desativação de contas, que permitem que criminosos continuem utilizando perfis mesmo após o cancelamento do número. Para evitar cair nesse tipo de golpe, especialistas recomendam desconfiar de mensagens urgentes e verificar informações diretamente com órgãos oficiais antes de realizar qualquer pagamento.

Uma investigação recente revelou uma campanha cibernética que explora extensões maliciosas do Visual Studio Code (VS Code) para disseminar ransomware, utilizando repositórios do GitHub como parte de sua infraestrutura de comando e controle (C2). Os pesquisadores identificaram várias extensões no Marketplace do Visual Studio que continham cargas ocultas disfarçadas de utilitários legítimos para desenvolvedores. Após a instalação, esses pacotes executavam JavaScript ofuscado que lançava comandos do PowerShell. Os scripts maliciosos recuperavam cargas secundárias de repositórios do GitHub sob contas aparentemente benignas.

Uma nova variante de ransomware, chamada Midnight, tem chamado a atenção da comunidade de segurança cibernética devido às suas vulnerabilidades. Identificada por pesquisadores da Gen, essa variante é semelhante ao ransomware Babuk, que se destacou em 2021. Midnight utiliza o cifrador de fluxo ChaCha20 para criptografar dados e RSA para proteger as chaves de criptografia, mas apresenta falhas que permitem a recuperação gratuita de arquivos. O ransomware normalmente adiciona as extensões ‘.Midnight’ ou ‘.endpoint’ aos arquivos comprometidos e impede a execução simultânea de múltiplas instâncias do processo de criptografia. Pesquisadores conseguiram explorar as fraquezas do Midnight, permitindo a recuperação de dados sem pagamento de resgate. Especialistas de segurança, como os da Avast e Norton, disponibilizaram um decryptor funcional que pode ser utilizado por vítimas, recomendando que o programa seja executado com privilégios administrativos. Apesar das falhas, a variante Midnight destaca uma tendência crescente entre desenvolvedores de ransomware em iterar sobre códigos vazados, como o do Babuk. Organizações são aconselhadas a manter backups offline e monitorar logs de sistema em busca de indicadores associados ao Midnight.

Um relatório da ESET revelou um aumento alarmante nas operações cibernéticas destrutivas contra a infraestrutura ucraniana, atribuídas ao grupo Sandworm, alinhado à Rússia. A campanha, que ocorreu entre abril e setembro de 2025, utilizou novas famílias de malware wiper, ZEROLOT e Sting, projetadas para causar interrupções em setores críticos como energia, logística e agricultura. Esses malwares sobrescrevem arquivos de sistema e dados, tornando as máquinas infectadas completamente inoperáveis. Os ataques foram frequentemente realizados através de anexos de spearphishing disfarçados de documentos financeiros legítimos, explorando canais de comunicação confiáveis entre parceiros da cadeia de suprimentos. A análise da ESET sugere que o objetivo principal era desestabilizar as exportações de grãos e a logística energética da Ucrânia, coincidindo com eventos de escalada regional. Além disso, a ESET observou uma colaboração entre diferentes grupos APT russos, indicando uma evolução preocupante na estratégia cibernética da Rússia, que agora combina espionagem com sabotagem econômica. As campanhas de Sandworm foram detectadas e mitigadas pela ESET em sua base de clientes, destacando a necessidade de vigilância contínua e medidas de proteção em resposta a essas ameaças.

Pesquisadores da Equipe de Detecção e Resposta (DART) da Microsoft identificaram um novo malware chamado SesameOp, que utiliza a API Assistants da OpenAI como centro de comando e controle. Este malware foi detectado após uma série de ataques em julho de 2025 e é capaz de permanecer ativo em sistemas invadidos por meses, utilizando serviços em nuvem para comunicação. Os hackers enviam comandos criptografados à API, que os repassa ao malware, que por sua vez criptografa os dados roubados e os envia de volta. O SesameOp se destaca por não explorar vulnerabilidades da plataforma da OpenAI, mas sim por abusar de funcionalidades existentes. O malware é implementado através de um loader ofuscado e backdoor baseado em .NET, utilizando ferramentas do Microsoft Visual Studio para injeção. A Microsoft e a OpenAI estão colaborando nas investigações, que já resultaram na desativação de contas e chaves de API associadas aos cibercriminosos. Para mitigar riscos, recomenda-se que empresas auditem seus registros de firewall e monitorem atividades não autorizadas.

Uma falha crítica foi identificada no tema JobMonster do WordPress, que afeta mais de 5.500 sites. A vulnerabilidade, classificada como CVE-2025-5397, possui uma pontuação de gravidade de 9.8 e permite que hackers acessem contas de administrador sem a devida autenticação. A falha se torna explorável quando a função de login social está ativada, permitindo que invasores se façam passar por usuários legítimos. Para mitigar os riscos, é recomendado que os administradores atualizem imediatamente para a versão 4.8.2 do tema ou desativem a função de login social. Além disso, a autenticação em dois fatores e a troca de senhas são medidas essenciais para aumentar a segurança. A Wordfence, empresa de segurança, já registrou uma onda de ataques utilizando essa vulnerabilidade, o que destaca a necessidade urgente de ações corretivas. O WordPress tem enfrentado um aumento nas tentativas de exploração de suas vulnerabilidades, o que torna a situação ainda mais crítica para os usuários da plataforma.

A Amazon anunciou que começará a bloquear aplicativos instalados ilegalmente no Fire TV Stick, uma medida que visa combater a pirataria e proteger os usuários de ameaças digitais. O bloqueio será implementado inicialmente na Alemanha e na França, com planos de expansão global. A empresa justificou a ação como parte de um esforço contínuo para apoiar criadores de conteúdo e proteger consumidores, uma vez que aplicativos piratas podem ser fontes de malware e fraudes. Os usuários que tentarem acessar esses aplicativos receberão um alerta informando que o acesso não é permitido, seguido pelo bloqueio do aplicativo. A Amazon não especificou quais aplicativos serão afetados, mas garantiu que serviços legítimos como Netflix e Prime Video continuarão funcionando normalmente. Essa iniciativa também está alinhada com um acordo antipirataria da Alliance for Creativity and Entertainment (ACE). Além de combater a pirataria, a medida busca mitigar riscos de ciberataques, já que aplicativos não verificados podem facilitar o acesso de cibercriminosos aos dispositivos dos usuários.

Pesquisadores da Palo Alto Networks, através da Unidade 42, identificaram uma nova família de malware chamada Airstalk, que parece estar ligada a uma operação de um suposto estado-nação, classificada como CL-STA-1009. O malware, desenvolvido em PowerShell e .NET, foi utilizado em um ataque de cadeia de suprimentos, visando provedores de terceirização de processos de negócios (BPO) e serviços gerenciados. Airstalk explora a API de Gerenciamento de Dispositivos Móveis (MDM) do VMware AirWatch (atualmente Workspace ONE UEM) para estabelecer comunicações de comando e controle (C2) de forma discreta. Ao abusar de pontos finais legítimos do AirWatch, o malware consegue evitar a detecção e se camuflar no tráfego empresarial confiável. A variante em PowerShell utiliza atributos de dispositivos personalizados para trocar mensagens C2 criptografadas, enquanto a versão em .NET apresenta funcionalidades mais avançadas, como suporte a navegadores adicionais e múltiplas threads para tarefas de C2. Ambas as versões demonstram um design modular e em desenvolvimento contínuo, com a assinatura de um certificado digital possivelmente roubado, indicando características de operações de ameaças persistentes avançadas. A análise sugere que a campanha representa um risco significativo, especialmente para provedores de serviços terceirizados, que são vistos como alvos valiosos para compromissos de cadeia de suprimentos.

Em um ataque significativo ao ecossistema DeFi, a Check Point Research revelou que contratos do ComposableStablePool da Balancer V2 foram explorados em 3 de novembro de 2025, resultando no roubo de $128,64 milhões em menos de 30 minutos. Os atacantes aproveitaram uma falha sutil de precisão aritmética na lógica de invariantes da pool da Balancer, transformando um erro de arredondamento em uma cadeia de exploração catastrófica que contornou mecanismos de segurança padrão. A vulnerabilidade originou-se na função _upscaleArray, que escalava saldos de tokens durante o cálculo de invariantes. Ao manipular os saldos para a faixa microscópica de 8-9 wei, a lógica de divisão inteira do Solidity causou discrepâncias de arredondamento que poderiam chegar a dez por cento por operação. O ataque foi realizado em uma sequência de 65 operações de batchSwap, amplificando perdas de precisão em uma distorção total do valor D da pool. A análise on-chain vinculou a exploração a um contrato específico, e os atacantes conseguiram acumular ativos roubados dentro da camada de contabilidade do Vault da Balancer. Apesar de múltiplas auditorias, a falha sobreviveu devido ao foco da análise em transações únicas, em vez de desvios aritméticos cumulativos. Este evento destaca a importância da modelagem adversarial e do monitoramento contínuo de invariantes nas bibliotecas matemáticas do DeFi.

Recentemente, foram descobertas falhas críticas de execução remota de código na aplicação Claude Desktop, desenvolvida pela Anthropic, uma das principais empresas de inteligência artificial. Três extensões oficiais da plataforma, que somam mais de 350.000 downloads, apresentavam vulnerabilidades que permitiam ataques de injeção de comandos. Essas falhas poderiam ser exploradas durante interações normais com o Claude, permitindo que um simples questionamento do usuário resultasse em comprometimento total do sistema. A vulnerabilidade, classificada com um CVSS de 8.9, se origina de comandos não sanitizados, um erro de segurança conhecido há décadas. As extensões afetadas, que operam com permissões completas do sistema, não validavam a entrada do usuário, permitindo que códigos maliciosos fossem injetados. Embora a Anthropic tenha lançado patches para corrigir as falhas, a situação levanta preocupações sobre a segurança do ecossistema de extensões MCP, que está em rápida expansão. A falta de revisão de segurança em extensões criadas por desenvolvedores independentes, muitas vezes utilizando codificação assistida por IA, aumenta a superfície de ataque, tornando essencial que os usuários e administradores de sistemas compreendam as diferenças entre essas extensões e os complementos tradicionais de navegadores.

Um estudo recente da Comparitech revelou que as senhas mais comuns em 2025 incluem ‘123456’, ‘admin’ e ‘password’, com mais de 2 bilhões de senhas reais analisadas. A pesquisa destacou que 25% das 1.000 senhas mais usadas consistem apenas em números, e 38,6% contêm a sequência ‘123’. Além disso, 65,8% das senhas analisadas têm menos de 12 caracteres, o que as torna vulneráveis a ataques de força bruta. A combinação de números e palavras fracas, como ‘admin’ e ‘qwerty’, contribui para a fraqueza das senhas. Especialistas recomendam senhas com pelo menos 12 caracteres, misturando letras maiúsculas, minúsculas, números e símbolos. A pesquisa também enfatiza a importância de senhas únicas e a ativação da autenticação de dois fatores para proteger contas, mesmo que a senha seja comprometida. A análise foi baseada em dados de vazamentos de credenciais em fóruns de dados, com informações coletadas de forma a garantir a confidencialidade dos usuários.

A Bitdefender foi novamente reconhecida como um fornecedor representativo no Gartner® Market Guide para Managed Detection and Response (MDR), marcando sua quarta inclusão consecutiva. O Gartner destaca que, entre mais de 600 provedores globais de serviços MDR, apenas alguns atendem aos rigorosos critérios para figurar no guia. A Bitdefender se destaca por sua abordagem centrada no ser humano, oferecendo proteção de nível empresarial com gerenciamento proativo de exposição, especialmente para pequenas e médias empresas que não têm capacidade para manter Centros de Operações de Segurança (SOCs) completos. O serviço de MDR da Bitdefender combina tecnologias avançadas de detecção, inteligência global sobre ameaças e resposta liderada por especialistas, proporcionando monitoramento contínuo e investigação de ameaças. Isso resulta em detecções mais rápidas e maior confiança na resposta a ataques avançados, como ransomware. A crescente adoção de MDR é impulsionada pela sofisticação das ameaças cibernéticas e pela escassez de talentos em segurança. O relatório do Gartner também enfatiza a importância da pesquisa independente na escolha de provedores de MDR, com 64% dos profissionais de TI e segurança afirmando que avaliações de terceiros influenciam suas decisões de compra.

O cibercrime está se expandindo para além do ambiente digital, afetando diretamente o mundo físico e a economia global. Recentemente, foram descobertas falhas de segurança críticas no Windows Graphics Device Interface (GDI), que podem permitir a execução remota de código e a divulgação de informações. Essas vulnerabilidades, identificadas como CVE-2025-30388, CVE-2025-53766 e CVE-2025-47984, foram corrigidas pela Microsoft, mas ressaltam a dificuldade em garantir a segurança total de sistemas complexos. Além disso, três cidadãos chineses foram condenados em Cingapura por hackearem sites de jogos, demonstrando como grupos organizados utilizam ciberataques para fraudes e roubo de dados. A análise de malware também está se beneficiando da inteligência artificial, com ferramentas como o ChatGPT acelerando a triagem e análise de trojans sofisticados. Por fim, o Departamento de Segurança Interna dos EUA propôs novas regras para a coleta de dados biométricos em processos de imigração, o que pode ter implicações significativas para a privacidade e segurança de dados. Este cenário destaca a necessidade urgente de uma abordagem integrada de segurança cibernética que considere tanto as ameaças digitais quanto suas repercussões no mundo físico.

As instituições financeiras enfrentam uma nova realidade em cibersegurança, onde a ciber-resiliência se tornou uma exigência regulatória. Regulamentos como o DORA na UE e o CORIE na Austrália exigem que essas organizações realizem exercícios de gerenciamento de crise e simulações de incidentes cibernéticos. A complexidade da conformidade está na colaboração entre equipes técnicas e não técnicas, onde simulações de incidentes cibernéticos precisam ser integradas a exercícios de mesa. A ferramenta OpenAEV tem se destacado ao permitir a combinação de simulações técnicas e de comunicação humana, facilitando a preparação e execução de cenários de crise. Essa abordagem integrada não só melhora a eficiência logística, mas também permite que as equipes desenvolvam uma memória muscular para responder a crises reais. À medida que as regulamentações se tornam mais rigorosas, as instituições devem se adaptar rapidamente, realizando simulações frequentes e relevantes para garantir a conformidade e a resiliência operacional. O acesso a ferramentas como OpenAEV, que oferece uma biblioteca de cenários de ransomware e integrações técnicas, é crucial para fortalecer as defesas cibernéticas e a conformidade.

Um novo grupo de ameaças, identificado como InedibleOchotense, foi observado realizando ataques de phishing que se disfarçam como a empresa de cibersegurança ESET, visando entidades ucranianas. A campanha, detectada em maio de 2025, utiliza e-mails e mensagens no Signal para enviar links para um instalador trojanizado da ESET. O e-mail, escrito em ucraniano, contém um erro de tradução que sugere uma origem russa. O instalador malicioso não apenas entrega o ESET AV Remover legítimo, mas também uma variante de um backdoor chamado Kalambur, que utiliza a rede Tor para controle remoto. Além disso, o grupo Sandworm, associado à Rússia, continua a realizar ataques destrutivos na Ucrânia, utilizando malware de limpeza de dados. Outro ator, RomCom, também explorou uma vulnerabilidade do WinRAR para realizar campanhas de phishing, visando setores financeiros e de defesa na Europa e Canadá. Esses incidentes destacam a crescente complexidade e a interconexão das ameaças cibernéticas na região, com implicações diretas para a segurança de dados e operações de empresas que utilizam tecnologias amplamente adotadas, como as da ESET.

Pesquisadores de segurança da Tenable descobriram sete vulnerabilidades críticas nos modelos ChatGPT da OpenAI, que expõem milhões de usuários a ataques sofisticados sem necessidade de interação direta. Essas falhas permitem que agentes maliciosos roubem dados sensíveis e comprometam sistemas, levantando sérias questões sobre a segurança dos modelos de linguagem. As vulnerabilidades afetam tanto o GPT-5 quanto o ChatGPT-4, explorando fraquezas na forma como esses modelos processam dados externos e gerenciam informações do usuário. Um dos pontos mais preocupantes é a capacidade de contornar mecanismos de segurança do ChatGPT utilizando links de rastreamento do Bing, permitindo que atacantes exfiltratem dados do usuário de forma discreta. Além disso, a técnica de Injeção de Memória possibilita que instruções maliciosas sejam persistentes em várias conversas, vazando informações privadas sem que o usuário perceba. A pesquisa também identificou uma vulnerabilidade de renderização de markdown, que oculta conteúdos maliciosos, tornando os ataques praticamente invisíveis. Esses vetores de ataque representam uma ameaça significativa, especialmente para organizações que utilizam o ChatGPT em trabalhos sensíveis, exigindo uma resposta rápida da OpenAI para mitigar os riscos.

No dia 5 de novembro de 2025, o Google lançou a versão 142 do Chrome, que corrige cinco vulnerabilidades críticas, sendo três delas de alta severidade. A atualização é especialmente importante devido à vulnerabilidade CVE-2025-12725, que envolve um erro de escrita fora dos limites na WebGPU, o componente de processamento gráfico do Chrome. Essa falha pode permitir que atacantes executem código malicioso diretamente nos sistemas dos usuários. Além disso, duas outras vulnerabilidades de alta severidade afetam o motor de processamento do Chrome: CVE-2025-12727, que atinge o motor JavaScript V8, e CVE-2025-12726, que impacta o componente Views, responsável pela interface do usuário do navegador. Ambas as falhas podem levar à corrupção de memória e execução não autorizada de código. O Google também corrigiu duas vulnerabilidades de severidade média relacionadas à barra de endereços do Chrome, a Omnibox. Os usuários são aconselhados a atualizar o navegador o mais rápido possível, e o Google recomenda a ativação de atualizações automáticas para garantir que os patches de segurança sejam aplicados prontamente.

O Google Threat Intelligence Group (GTIG) identificou um novo malware chamado PROMPTFLUX, que utiliza a API Gemini para modificar seu próprio código durante a execução. Este dropper é notável por empregar uma técnica chamada ‘just-in-time AI’, que permite que o malware altere dinamicamente sua estrutura e conteúdo, dificultando a detecção por métodos tradicionais. O PROMPTFLUX se comunica com a API Gemini para obter novas variantes de código VBScript, focadas em evadir antivírus. Um módulo denominado ‘Thinking Robot’ automatiza o processo, salvando arquivos regenerados na pasta de inicialização do Windows para garantir persistência. A análise do GTIG revelou que o malware ainda está em fase de desenvolvimento e não foi amplamente implantado. No entanto, a utilização de modelos de linguagem para metamorfose em tempo de execução indica uma evolução significativa em ecossistemas de malware autônomos. Além disso, o relatório correlaciona atividades semelhantes com outros malwares habilitados por IA, como PROMPTSTEAL e PROMPTLOCK, associados a atores estatais de países como Coreia do Norte, Irã e China. O Google reforçou suas medidas de segurança para mitigar esses riscos, destacando a importância do desenvolvimento responsável de IA.

A Hyundai AutoEver America, LLC confirmou um vazamento de dados que expôs informações sensíveis de clientes, incluindo nomes, números de Seguro Social e dados de carteiras de motorista. O ataque cibernético ocorreu entre 22 de fevereiro e 2 de março de 2025, quando os invasores mantiveram acesso não autorizado ao ambiente de TI da empresa por aproximadamente nove dias. A empresa detectou a intrusão em 1º de março e imediatamente iniciou uma investigação, com apoio de especialistas em cibersegurança e autoridades. Os clientes afetados foram notificados com cartas personalizadas, detalhando os dados comprometidos. Para mitigar os riscos, a Hyundai AutoEver ofereceu serviços gratuitos de monitoramento de crédito e proteção contra roubo de identidade por dois anos. Especialistas recomendam que os clientes permaneçam vigilantes, revisando extratos financeiros e relatando qualquer atividade suspeita. O incidente destaca a importância de medidas de segurança robustas e a necessidade de monitoramento contínuo das informações pessoais expostas.

Em 5 de novembro de 2025, a equipe de segurança do Django lançou patches críticos para corrigir duas vulnerabilidades significativas que afetam várias versões do popular framework web em Python. As falhas, identificadas como CVE-2025-64458 e CVE-2025-64459, podem permitir que atacantes realizem ataques de negação de serviço (DoS) e injeções de SQL através de entradas maliciosas. A vulnerabilidade mais grave, CVE-2025-64459, afeta a funcionalidade de consulta central do Django, permitindo que atacantes explorem métodos como QuerySet.filter(), QuerySet.exclude() e QuerySet.get() utilizando um argumento _connector malicioso. Isso ocorre devido à validação insuficiente de entradas, criando uma brecha para injeções de SQL. A segunda vulnerabilidade, CVE-2025-64458, afeta especificamente implantações em Windows, explorando problemas de desempenho no processo de normalização Unicode do Python, o que pode levar a um vetor de DoS ao enviar solicitações com muitos caracteres Unicode. A equipe de segurança recomenda que todos os usuários do Django atualizem imediatamente para as versões corrigidas: 5.2.8, 5.1.14 ou 4.2.26, disponíveis no site oficial do Django.

A SonicWall confirmou que um grupo de ameaças patrocinadas por um Estado foi responsável pela violação de segurança ocorrida em setembro, que resultou na exposição não autorizada de arquivos de backup de configuração de firewall. A empresa esclareceu que a atividade maliciosa foi restrita ao acesso não autorizado a arquivos de backup na nuvem, utilizando uma chamada de API, e que o incidente não está relacionado aos ataques de ransomware Akira que afetam firewalls e outros dispositivos de borda. A SonicWall contratou a Mandiant, empresa pertencente ao Google, para investigar a violação, que afetou menos de 5% de seus clientes que utilizam o serviço de backup na nuvem. A empresa assegurou que seus produtos, firmware e outros sistemas não foram comprometidos e que várias ações corretivas recomendadas pela Mandiant foram implementadas para fortalecer sua infraestrutura de segurança. Os clientes da SonicWall são aconselhados a acessar o MySonicWall.com para verificar seus dispositivos e redefinir as credenciais dos serviços afetados, se necessário. Além disso, a empresa disponibilizou ferramentas online para análise e redefinição de credenciais, visando aumentar a segurança dos serviços.

Pesquisadores da ESET identificaram 12 aplicativos maliciosos para Android que gravam conversas e chamadas dos usuários sem o seu conhecimento. Esses aplicativos, disfarçados de plataformas de mensagens, são utilizados por cibercriminosos para instalar um spyware chamado VajraSpy nos dispositivos. O ataque começa com uma abordagem que cria uma falsa sensação de confiança, levando a vítima a instalar o aplicativo malicioso. Uma vez instalado, o VajraSpy tem acesso a informações confidenciais, como contatos, mensagens e localização, além de poder gravar áudios e chamadas. Embora alguns desses aplicativos tenham sido removidos da Google Play Store, outros ainda estão disponíveis, exigindo que os usuários tenham cautela ao baixar novos aplicativos. Para se proteger, recomenda-se não clicar em links suspeitos, verificar a reputação dos aplicativos e estar atento a sinais de infecção, como solicitações inesperadas de acesso ao microfone e consumo excessivo de bateria. A instalação de um antivírus também é uma medida recomendada para detectar atividades suspeitas em tempo real.

Pesquisadores de segurança digital da Expel identificaram uma nova campanha de ransomware que utiliza anúncios falsos do Microsoft Teams para enganar usuários. A quadrilha Rhysida, conhecida por seus ataques desde junho de 2025, cria páginas que imitam o site oficial de download do Teams. Quando a vítima clica no anúncio, é redirecionada para uma página falsa, onde, ao tentar baixar o software, seu dispositivo é infectado por dois malwares: OysterLoader e Latrodectus. Esses malwares permitem que os cibercriminosos acessem remotamente o aparelho da vítima, criptografando seus dados e abrindo portas para outros golpes digitais. A Rhysida já foi responsável por ataques significativos, como o que resultou no roubo de quase 600 GB de dados da Biblioteca Britânica em 2023. A campanha atual destaca a importância de cautela ao clicar em anúncios, mesmo em plataformas confiáveis como o Bing, e reforça a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Um novo malware para Android, identificado como ‘Android/BankBot-YNRK’, está causando preocupação entre usuários de criptomoedas na Indonésia e em outros países do sudeste asiático. Este trojan bancário se disfarça de aplicativos populares, como WhatsApp e TikTok, e é capaz de drenar carteiras de criptomoedas sem que as vítimas percebam. O malware utiliza recursos de acessibilidade do Android para obter controle total do dispositivo, permitindo que os cibercriminosos acessem dados bancários, senhas e chaves de criptomoedas. Uma das características mais alarmantes do vírus é sua capacidade de desativar notificações e alertas, tornando difícil para o usuário perceber transações suspeitas em andamento. Além disso, o malware pode capturar imagens em tempo real, facilitando o roubo de credenciais de acesso. A Cyfirma, empresa de cibersegurança que identificou a ameaça, alerta que o vírus se espalha principalmente por meio de downloads de APKs de fontes não oficiais, enganando os usuários com simulações de verificações de dados pessoais. A situação é crítica, especialmente para dispositivos com Android 13 e versões anteriores, que oferecem permissões que facilitam a ação do malware.

Um estudo da MIT Sloan School of Management, que afirmava que 80,83% dos ataques de ransomware eram realizados por criminosos utilizando inteligência artificial (IA), foi retirado após críticas severas de especialistas em cibersegurança. O estudo, co-autorado por pesquisadores do MIT e executivos da Safe Security, foi amplamente desacreditado por figuras proeminentes da área, como Kevin Beaumont e Marcus Hutchins, que consideraram as alegações como ‘ridículas’ e ‘sem provas’. Beaumont destacou que o estudo mencionava grupos de ransomware que não utilizam IA e até citou o Emotet, que não está ativo há anos. Após a repercussão negativa, o MIT anunciou que o documento estava sendo revisado. O autor Michael Siegel afirmou que o objetivo do estudo era alertar sobre o aumento do uso de IA em ataques cibernéticos e a necessidade de medições adequadas. A controvérsia ressalta a tensão crescente na pesquisa em cibersegurança, onde o entusiasmo por IA pode ofuscar a análise factual. Embora a IA tenha potencial tanto para ataques quanto para defesas, exagerar seu uso malicioso pode distorcer prioridades, especialmente quando proveniente de instituições respeitáveis como o MIT.

O relatório ‘Cybersecurity Forecast 2026’ do Google Cloud destaca uma mudança significativa no cenário de cibersegurança, com a adoção crescente de inteligência artificial (IA) tanto por atacantes quanto por defensores. O documento, que se baseia em análises de especialistas em segurança do Google, prevê que o próximo ano será marcado por uma evolução tecnológica rápida e técnicas de ataque cada vez mais sofisticadas. Um dos principais achados é a normalização do uso de IA por cibercriminosos, que estão integrando essa tecnologia em todos os ciclos de ataque, permitindo campanhas mais rápidas e ágeis. A vulnerabilidade de injeção de prompt, onde atacantes manipulam sistemas de IA para executar comandos ocultos, é uma preocupação crescente. Além disso, a engenharia social habilitada por IA, como campanhas de vishing com clonagem de voz, está se tornando mais comum, dificultando a detecção de ataques de phishing. O relatório também menciona que o ransomware e a extorsão continuarão a ser as categorias mais disruptivas e financeiramente prejudiciais, com foco em provedores terceirizados e vulnerabilidades críticas. A previsão sugere que as equipes de segurança devem se adaptar rapidamente, utilizando metodologias de IA para fortalecer suas defesas e preparar-se para um aumento nas atividades de engenharia social e operações de estados-nação.

O grupo de ransomware Interlock reivindicou um ataque cibernético ao Departamento de Polícia de Shelbyville, no Kentucky, ocorrido em outubro de 2025. O chefe da polícia, Bruce Gentry, confirmou que a rede de computadores da instituição foi comprometida, resultando na interrupção de suas operações. Interlock alegou ter roubado 208 GB de dados, incluindo gravações de câmeras de segurança, e publicou amostras para corroborar sua afirmação. Até o momento, o departamento não confirmou a veracidade das alegações nem se pagará o resgate exigido. Interlock, que começou a operar em outubro de 2024, já reivindicou 72 ataques, sendo 35 confirmados por organizações-alvo. O grupo também é responsável por outras violações de dados em entidades governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, com 68 incidentes confirmados em 2025, causando interrupções significativas em serviços essenciais. O caso do Departamento de Polícia de Shelbyville destaca a vulnerabilidade das instituições públicas e a necessidade urgente de medidas de segurança cibernética eficazes.

O Google revelou a descoberta de um novo malware chamado PROMPTFLUX, que utiliza um script em Visual Basic (VBScript) para interagir com a API do modelo de inteligência artificial Gemini. Este malware é capaz de gerar seu próprio código-fonte, permitindo técnicas de ofuscação e evasão em tempo real, o que dificulta a detecção por sistemas de segurança baseados em assinaturas estáticas. A funcionalidade inovadora do PROMPTFLUX é parte de um componente denominado ‘Thinking Robot’, que consulta periodicamente o modelo de linguagem Gemini para obter novas técnicas de evasão. Embora atualmente o malware não tenha capacidade de comprometer redes ou dispositivos, sua evolução e a possibilidade de auto-modificação indicam um potencial de ameaça crescente. O Google também observou que atores maliciosos estão utilizando IA não apenas para aumentar a produtividade, mas para desenvolver ferramentas que se adaptam durante a execução. Além disso, o uso de IA por grupos patrocinados por estados, como os da China e Irã, para criar conteúdo enganoso e desenvolver infraestrutura técnica para exfiltração de dados, destaca a crescente sofisticação das ameaças cibernéticas. A expectativa é que o uso de IA por atores maliciosos se torne a norma, aumentando a velocidade e a eficácia de suas operações.

O Relatório de Ameaças Europeu de 2025, da Crowdstrike, revela um aumento alarmante de 13% nos ataques de ransomware na Europa, com o Reino Unido sendo o país mais afetado. Entre setembro de 2024 e agosto de 2025, 1.380 vítimas enfrentaram vazamentos de dados, com 92% delas sofrendo encriptação e roubo de informações. Os setores mais atingidos incluem manufatura, serviços profissionais e tecnologia. Os grupos de ransomware mais ativos foram Akira, LockBit e RansomHub, focando em grandes empresas, uma prática conhecida como ‘big game hunting’. Além disso, o relatório destaca um aumento no uso de ‘violência como serviço’ (VaaS), que envolve ameaças físicas e sequestros, com 17 incidentes relacionados a criptomoedas, sendo a maioria na França. O caso do co-fundador da Ledger, sequestrado em janeiro de 2025, exemplifica essa nova tática. O aumento de ataques de vishing e ClickFix também foi notado, evidenciando a evolução das técnicas de engenharia social utilizadas pelos hackers.

A ferramenta de cibersegurança da Google, Big Sleep, identificou cinco vulnerabilidades no Webkit do navegador Safari, da Apple. Essas falhas, se exploradas, poderiam causar colapsos no navegador ou corrupção de memória. As vulnerabilidades foram corrigidas pela Apple em atualizações recentes, que incluem melhorias na checagem de limites e no manejo de estado e memória. As falhas identificadas são: CVE-2025-43429, um buffer overflow; CVE-2025-43430, uma vulnerabilidade não especificada; CVE-2025-43431 e CVE-2025-43433, que causavam corrupção de memória; e CVE-2025-43434, uma vulnerabilidade use-after-free. A Apple lançou patches para iOS, iPadOS, macOS, tvOS, watchOS e visionOS, exceto para dispositivos mais antigos. Embora não haja relatos de exploração ativa dessas vulnerabilidades, é crucial que os usuários atualizem seus dispositivos para evitar possíveis ataques. A Big Sleep, desenvolvida pela Google, é uma ferramenta de IA que automatiza a descoberta de vulnerabilidades e já havia identificado falhas em outras plataformas, como o SQLite.

A Microsoft identificou um problema que pode afetar usuários de sistemas operacionais Windows após a atualização de segurança de outubro de 2025. Dispositivos com processadores Intel que suportam a tecnologia Connected Standby podem apresentar telas de recuperação do BitLocker inesperadamente durante reinicializações, exigindo que os usuários insiram manualmente a chave de recuperação para restaurar a funcionalidade normal. O problema afeta as versões do Windows 11 (24H2 e 25H2) e do Windows 10 (22H2). A situação ocorre após a instalação de atualizações lançadas em ou após 14 de outubro de 2025. A Microsoft está investigando a causa raiz e já ativou um recurso de reversão de problemas conhecido (KIR) para mitigar o impacto. Embora a interrupção seja temporária e a funcionalidade de criptografia permaneça intacta, a empresa recomenda que os usuários mantenham suas chaves de recuperação acessíveis e monitorem o painel de saúde do Windows para atualizações sobre a resolução do problema. Servidores Windows não são afetados, limitando o impacto principalmente a estações de trabalho de consumidores e empresas.

Uma vulnerabilidade crítica de escalonamento de privilégios foi identificada no Windows Cloud Files Mini Filter Driver, classificada como CVE-2025-55680. Essa falha explora uma vulnerabilidade do tipo time-of-check to time-of-use (TOCTOU), permitindo que atacantes locais contornem restrições de gravação de arquivos e obtenham acesso não autorizado a nível de sistema. A origem da vulnerabilidade remonta a uma divulgação do Project Zero em 2020, que visava prevenir ataques de links simbólicos. No entanto, a validação de strings de caminho ocorre no espaço do usuário antes do processamento em modo kernel, criando uma janela crítica para exploração. Um atacante pode modificar a memória entre a verificação de segurança e a operação real do arquivo, contornando todas as proteções. O processo de exploração envolve a função HsmFltProcessHSMControl da API do Cloud Files, que, ao chamar HsmFltProcessCreatePlaceholders, pode criar arquivos em diretórios protegidos com privilégios de modo kernel. A Microsoft já disponibilizou patches para corrigir essa vulnerabilidade, e as organizações devem priorizar sua aplicação, uma vez que o ataque requer apenas acesso local ao sistema e não necessita de interação do usuário.

O grupo de ameaças APT-C-60 intensificou suas atividades entre junho e agosto de 2025, visando organizações japonesas com e-mails de spear-phishing sofisticados. Nesta nova campanha, os atacantes se disfarçaram como candidatos a emprego, enviando mensagens diretamente aos recrutadores. Ao contrário de campanhas anteriores, onde os arquivos maliciosos eram baixados via Google Drive, nesta fase, os arquivos VHDX foram anexados diretamente aos e-mails. Dentro do contêiner VHDX, os alvos encontravam arquivos de atalho (LNK) e currículos falsos. Ao serem clicados, os arquivos LNK executavam um binário legítimo, gcmd.exe, que rodava um script malicioso chamado glog.txt, criando e executando cargas adicionais enquanto exibia um currículo falso para enganar as vítimas.

Um novo malware para Android, denominado NGate, foi descoberto pela CERT Polska, utilizando uma técnica sofisticada de relé NFC para atacar usuários de bancos na Polônia. O ataque permite que criminosos realizem saques em caixas eletrônicos usando os próprios cartões de pagamento das vítimas, sem a necessidade de roubo físico. O processo começa com mensagens de phishing que se disfarçam de alertas bancários, levando as vítimas a instalar um aplicativo malicioso que simula ferramentas legítimas de banco móvel. Após a instalação, os usuários são induzidos a confirmar seus cartões através de NFC, o que resulta na captura de dados sensíveis, como o número do cartão e o PIN, que são enviados em tempo real para os atacantes. A análise técnica revelou que o aplicativo malicioso opera como um serviço de emulação de cartão, interceptando a comunicação NFC e transmitindo os dados para um servidor controlado pelos criminosos. A CERT Polska recomenda que os usuários baixem apenas aplicativos bancários verificados e entrem em contato diretamente com seus bancos ao receber solicitações suspeitas. Este incidente destaca a necessidade de vigilância constante e educação sobre segurança cibernética entre os usuários de serviços financeiros.

O burnout nas equipes de Segurança da Informação (SOC) é um problema crescente, causado principalmente pela sobrecarga de alertas e pela falta de ferramentas adequadas. O artigo apresenta três passos práticos para mitigar esse desgaste e melhorar a eficiência das equipes. O primeiro passo é reduzir a sobrecarga de alertas, utilizando análises em tempo real que oferecem contexto completo sobre as ameaças, permitindo que os analistas priorizem e ajam com confiança. O segundo passo envolve a automação de tarefas repetitivas, liberando os analistas para se concentrarem em investigações mais complexas. A combinação de automação com análise interativa pode aumentar significativamente a eficiência das operações. Por fim, a integração de inteligência de ameaças em tempo real ajuda a minimizar o trabalho manual, permitindo que os analistas acessem dados atualizados sem precisar alternar entre várias ferramentas. Essas melhorias não apenas ajudam a prevenir o burnout, mas também tornam as equipes mais ágeis e focadas em suas atividades principais.