Cibersegurança

A Comissão Europeia (CE) confirmou ter sido alvo de um ciberataque que resultou na perda de dados sensíveis. O incidente foi detectado em 24 de março de 2026, quando atacantes não identificados acessaram a infraestrutura em nuvem que hospeda o site Europa.eu. Embora a CE tenha afirmado ter respondido rapidamente e contido o risco, dados foram efetivamente extraídos. A CE está investigando o impacto total do incidente e notificando entidades da União Europeia que possam ter sido afetadas. A natureza dos dados roubados não foi especificada, mas a CE indicou que se tratam de informações organizacionais, não pessoais. Os atacantes teriam acessado uma conta da Amazon Web Services (AWS), resultando na extração de mais de 350 GB de dados. A CE implementou medidas adicionais de segurança para proteger seus serviços e dados, sem interromper o funcionamento do site.

A Comissão Europeia confirmou um vazamento de dados após a invasão de sua plataforma web Europa.eu, atribuída ao grupo de extorsão ShinyHunters. O ataque afetou pelo menos uma conta da Comissão na Amazon Web Services (AWS), mas não causou interrupções nos sites da Europa. A Comissão está notificando entidades da União Europeia que possam ter sido impactadas e continua a investigar o alcance total do incidente. Os primeiros indícios sugerem que dados foram extraídos, incluindo bancos de dados e documentos confidenciais. O ShinyHunters alegou ter roubado mais de 350 GB de dados antes que seu acesso fosse bloqueado, e disponibilizou uma parte desse material em seu site de vazamentos na dark web. Este incidente ocorre em um contexto de crescente preocupação com a segurança cibernética na Europa, especialmente após a proposta de novas legislações para fortalecer a defesa contra grupos de cibercrime. A Comissão afirmou que seus sistemas internos não foram afetados e que medidas estão sendo tomadas para garantir a segurança de seus dados e sistemas.

Uma vulnerabilidade crítica, identificada como CVE-2026-21643, foi descoberta na plataforma FortiClient EMS da Fortinet e está sendo ativamente explorada por atacantes. Essa falha de injeção SQL permite que agentes mal-intencionados não autenticados executem comandos arbitrários em sistemas não corrigidos, utilizando ataques de baixa complexidade direcionados à interface web do FortiClient EMS. A vulnerabilidade afeta a versão 7.4.4 do FortiClient EMS e pode ser corrigida com a atualização para a versão 7.4.5 ou posterior. Apesar de a CISA não ter listado a vulnerabilidade como explorada, dados recentes indicam que a exploração começou há apenas quatro dias. A empresa Fortinet ainda não atualizou seu aviso de segurança sobre a situação. Atualmente, cerca de 1.000 instâncias do FortiClient EMS estão expostas publicamente, com mais de 1.400 IPs localizados nos Estados Unidos e na Europa. A exploração de vulnerabilidades da Fortinet é comum em ataques de ransomware e campanhas de espionagem cibernética, o que torna a situação ainda mais crítica para as empresas que utilizam essa tecnologia.

A Microsoft suspendeu a distribuição da atualização cumulativa opcional KB5079391 para Windows 11, após a identificação de um erro de instalação que gera o código 0x80073712. Essa atualização, que começou a ser disponibilizada na quinta-feira, incluía 29 melhorias, como a confiabilidade do Windows Hello para impressão digital e melhorias na exibição. Os usuários afetados estão recebendo mensagens de erro indicando que ‘alguns arquivos de atualização estão faltando ou apresentam problemas’. A empresa não forneceu um cronograma para a correção, mas é provável que uma solução seja lançada antes do próximo Patch Tuesday, em 14 de abril. A interrupção foi uma medida preventiva para evitar impactos adicionais enquanto a questão é investigada. Recentemente, a Microsoft também lançou atualizações de emergência para resolver problemas de login em aplicativos da Microsoft, além de outras correções para dispositivos Windows 11 Enterprise. A situação destaca a importância de monitorar atualizações e a necessidade de intervenções rápidas em caso de falhas significativas.

Três grupos de atividade de ameaças associados à China têm como alvo uma organização governamental no Sudeste Asiático, em uma operação complexa e bem financiada. As campanhas resultaram na utilização de diversas famílias de malware, incluindo HIUPAN, PUBLOAD, e FluffyGh0st, entre outros. Os pesquisadores da Palo Alto Networks identificaram três clusters de atividade: Mustang Panda, CL-STA-1048 e CL-STA-1049, que demonstram sobreposição em táticas e técnicas, sugerindo uma coordenação entre os grupos. A atividade do Mustang Panda, registrada entre junho e agosto de 2025, utilizou malware USB para implantar backdoors, enquanto o CL-STA-1049 fez uso de um novo loader DLL, o Hypnosis Loader, para instalar o FluffyGh0st RAT. A intenção dos atacantes parece ser a obtenção de acesso persistente a redes governamentais sensíveis, em vez de causar apenas interrupções. A convergência dessas atividades destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações críticas.

Pesquisadores de cibersegurança descobriram um toolkit de acesso remoto de origem russa, denominado CTRL, que é distribuído por meio de arquivos de atalho (LNK) maliciosos disfarçados como pastas de chaves privadas. O toolkit, desenvolvido em .NET, inclui executáveis que facilitam phishing de credenciais, keylogging, sequestro de sessões RDP e tunelamento reverso via Fast Reverse Proxy (FRP). O ataque começa com um arquivo LNK que, ao ser clicado, inicia um processo em múltiplas etapas, levando à implantação do toolkit. O arquivo dropper aciona um comando PowerShell oculto que remove mecanismos de persistência existentes e baixa cargas úteis adicionais de um servidor remoto. O componente de coleta de credenciais simula uma janela de verificação de PIN do Windows, capturando informações sensíveis enquanto bloqueia tentativas de escape. O toolkit também permite o envio de notificações que imitam navegadores para roubo adicional de credenciais. A arquitetura do CTRL prioriza a segurança operacional, evitando padrões de comunicação detectáveis, o que representa um risco significativo para organizações que utilizam tecnologias Windows. A descoberta deste toolkit destaca a necessidade de vigilância contínua e medidas de segurança robustas para mitigar riscos associados a ataques de malware sofisticados.

Os arquivos ZIP são frequentemente utilizados para enviar documentos importantes, mas também podem ser uma porta de entrada para malwares. O artigo destaca a importância de verificar a origem e o contexto de envio desses arquivos antes de abri-los. É fundamental analisar o remetente, o conteúdo do e-mail e sinais visuais que possam indicar uma tentativa de phishing, como nomes genéricos de arquivos ou mensagens com erros de gramática. O artigo também menciona que erros ao tentar extrair arquivos ZIP podem ser um sinal de malware, e recomenda o uso de antivírus para escanear os arquivos antes de abri-los. Além disso, sugere que os usuários evitem abrir arquivos desconhecidos em máquinas corporativas e sempre confirmem a natureza do documento com o remetente. A cautela é essencial, pois hackers podem invadir contas de conhecidos para enviar arquivos infectados. O principal objetivo é promover uma abordagem proativa e informada na identificação de arquivos ZIP suspeitos.

O Sky Go é um aplicativo que permite aos assinantes da Sky TV no Reino Unido assistirem a uma variedade de conteúdos, incluindo séries, filmes e eventos esportivos ao vivo, em dispositivos móveis. No entanto, o acesso ao Sky Go é restrito a usuários localizados no Reino Unido, o que pode ser frustrante para aqueles que viajam para o exterior. Para contornar essa limitação, o uso de uma VPN (Rede Privada Virtual) é recomendado. A VPN permite que os usuários se conectem a servidores localizados no Reino Unido, fazendo com que pareça que estão acessando o serviço de dentro do país. O artigo destaca a importância de escolher um serviço de VPN confiável, como o NordVPN, que oferece segurança e desempenho adequados para streaming. Além disso, o texto fornece informações sobre os planos de assinatura da Sky TV, que variam em preço e conteúdo, e sugere que os usuários considerem pacotes que incluem serviços adicionais, como Netflix e Disney Plus, para maximizar sua experiência de entretenimento. O uso de uma VPN não só facilita o acesso ao Sky Go, mas também protege a privacidade do usuário ao navegar na internet.

O grupo de hackers Handala, associado ao Irã, comprometeu a conta de e-mail pessoal do diretor do FBI, Kash Patel, divulgando fotos e documentos. O FBI confirmou a violação, esclarecendo que os dados roubados eram antigos e não continham informações governamentais. Os hackers alegaram que a invasão foi uma retaliação à apreensão de domínios do Handala e à recompensa de até US$ 10 milhões oferecida pelo governo dos EUA por informações sobre seus membros. Eles publicaram provas da invasão, incluindo correspondências e arquivos pessoais de Patel, afirmando que toda a informação confidencial estava disponível para download público. O FBI, por sua vez, declarou que tomou medidas para mitigar os riscos associados a essa atividade. O grupo Handala, que já havia atacado a gigante de tecnologia médica Stryker, é conhecido por suas operações de hacktivismo em nome do Ministério da Inteligência e Segurança do Irã. A situação destaca a vulnerabilidade de figuras públicas e a necessidade de proteção robusta de dados pessoais, especialmente em um contexto onde a segurança cibernética é cada vez mais crítica.

Uma vulnerabilidade no plugin Smart Slider 3, utilizado em mais de 800 mil sites WordPress, permite que usuários autenticados, como assinantes, acessem arquivos arbitrários no servidor. A falha, identificada como CVE-2026-3098, foi descoberta pelo pesquisador Dmitrii Ignatyev e afeta todas as versões do plugin até a 3.5.1.33. O problema se origina da falta de verificações de capacidade nas ações de exportação AJAX do plugin, permitindo que qualquer usuário autenticado invoque funções que não validam o tipo ou a origem dos arquivos. Isso significa que arquivos sensíveis, como o wp-config.php, que contém credenciais do banco de dados, podem ser acessados, aumentando o risco de roubo de dados e comprometimento total do site. Embora a vulnerabilidade tenha recebido uma classificação de severidade média, ela ainda representa um risco significativo, especialmente para sites com opções de assinatura. A Nextendweb, desenvolvedora do plugin, lançou um patch em 24 de março, mas estima-se que cerca de 500 mil sites ainda estejam vulneráveis. Os administradores de sites devem agir rapidamente para mitigar os riscos associados a essa falha.

O aumento de sites falsos de viagens, especialmente durante períodos de alta demanda, representa um risco significativo para os consumidores. Cibercriminosos utilizam táticas de engenharia social para criar páginas que imitam companhias aéreas e agências de viagens, atraindo vítimas com ofertas de preços extremamente baixos. Para evitar fraudes, é essencial que os usuários verifiquem cuidadosamente o domínio do site, buscando por erros de digitação e variações suspeitas. Além disso, é importante prestar atenção a textos genéricos, falta de informações claras sobre atendimento e inconsistências nos preços. Os anúncios patrocinados podem ser uma armadilha, pois sites fraudulentos frequentemente aparecem no topo das buscas. Antes de realizar um pagamento via Pix, os consumidores devem confirmar se o nome do recebedor corresponde à empresa e verificar a reputação do site em plataformas como o Reclame Aqui. Caso uma fraude seja identificada, é crucial agir rapidamente, contatando o banco e registrando um boletim de ocorrência. O artigo destaca a importância da cautela e da verificação de informações para evitar cair em golpes.

Um grupo de hackers ligado ao Irã, conhecido como Handala Hack Team, invadiu a conta de e-mail pessoal de Kash Patel, diretor do FBI, e divulgou uma série de fotos e documentos na internet. O FBI confirmou que os e-mails de Patel foram alvo de ataque, mas assegurou que os dados vazados são de natureza histórica e não contêm informações governamentais. O Handala Hack é associado ao Ministério da Inteligência e Segurança do Irã e tem um histórico de ataques direcionados a provedores de serviços de TI, utilizando credenciais comprometidas para obter acesso inicial. Recentemente, o grupo também foi responsável por um ataque destrutivo à Stryker, uma empresa da Fortune 500, onde deletou dados e limpou dispositivos de funcionários. O ataque é considerado um marco na ameaça à cadeia de suprimentos, especialmente no setor de saúde. Em resposta a operações de combate ao cibercrime, o Handala Hack divulgou os e-mails de Patel, que incluem comunicações de 2010 a 2019. O governo dos EUA está oferecendo uma recompensa de 10 milhões de dólares por informações sobre os membros do grupo, que tem utilizado táticas de engenharia social e malware para atingir dissidentes e jornalistas. O FBI e a CISA emitiram orientações para reforçar a segurança de domínios do Windows e do Microsoft Intune, visando prevenir ataques semelhantes.

Um estudo recente da Omnissa revelou que muitos laptops empresariais, especialmente aqueles com Windows, estão atrasados em suas atualizações, o que resulta em instabilidade e riscos de segurança. A pesquisa indica que dispositivos Windows enfrentam 3,1 vezes mais desligamentos forçados e 2,2 vezes mais falhas de aplicativos em comparação com sistemas macOS. Além disso, ambientes Windows experimentam 7,5 vezes mais travamentos de aplicativos, o que interrompe significativamente o fluxo de trabalho dos funcionários. A falta de atualizações não apenas compromete a estabilidade, mas também a segurança, com mais de 50% dos dispositivos em ambientes educacionais e de saúde permanecendo não criptografados. A crescente adoção de ferramentas de inteligência artificial, que aumentaram em quase 1000% no último ano, está pressionando ainda mais esses sistemas desatualizados, tornando-os mais suscetíveis a problemas de desempenho. O artigo destaca a necessidade urgente de dados de telemetria granular para orientar decisões de aquisição de dispositivos e garantir que os laptops empresariais atendam às exigências dos funcionários.

Um novo malware de roubo de informações, chamado Infinity Stealer, está direcionando ataques a sistemas macOS utilizando um payload em Python, que é empacotado como um executável com o compilador Nuitka. Este ataque emprega a técnica ClickFix, que apresenta um CAPTCHA falso semelhante ao verificador humano da Cloudflare, enganando os usuários para que executem código malicioso. Segundo pesquisadores da Malwarebytes, esta é a primeira campanha documentada no macOS que combina a entrega via ClickFix com um infostealer baseado em Python compilado com Nuitka. O uso do Nuitka resulta em um binário nativo que é mais resistente à análise estática, tornando a engenharia reversa mais difícil em comparação com ferramentas como PyInstaller. O ataque começa com um isco ClickFix no domínio update-check[.]com, que solicita que o usuário cole um comando obfuscado no Terminal do macOS, contornando defesas do sistema operacional. O malware é capaz de coletar dados sensíveis, como credenciais de navegadores, entradas do Keychain do macOS e segredos em arquivos de desenvolvedor, exfiltrando essas informações via requisições HTTP POST. A Malwarebytes alerta que a evolução de ameaças como o Infinity Stealer demonstra que os riscos para usuários de macOS estão se tornando mais sofisticados e direcionados.

O fenômeno conhecido como MFA fatigue, ou fadiga de autenticação multifatorial, refere-se à exploração do cansaço dos usuários diante de repetidas solicitações de autenticação em seus dispositivos. Os golpistas utilizam essa técnica de engenharia social para induzir os usuários a aprovar acessos indevidos, especialmente em momentos de distração. A autenticação de dois fatores (2FA) é uma medida de segurança importante, pois, mesmo que a senha de um usuário seja comprometida, o acesso ainda requer um código enviado ao celular. No entanto, os hackers têm desenvolvido métodos para contornar essa proteção, como o bombardeio de solicitações de autenticação e a criação de mensagens falsas de suporte. Isso pode levar os usuários a aprovar acessos fraudulentos sem perceber. Para se proteger, é essencial que os usuários estejam sempre atentos a notificações inesperadas e nunca compartilhem seus códigos de autenticação. A conscientização sobre esses ataques é crucial, pois a segurança não depende apenas da tecnologia, mas também do comportamento do usuário.

A Proofpoint revelou uma campanha de e-mails direcionados atribuída ao grupo de ameaças TA446, vinculado ao governo russo, que está utilizando o kit de exploits DarkSword para atacar dispositivos iOS. A campanha, que começou em 26 de março de 2026, envolveu e-mails falsos que simulavam convites para discussões do Atlantic Council, com o objetivo de entregar o malware GHOSTBLADE. Este ataque é notável, pois o TA446 não havia atacado dispositivos Apple anteriormente. A Proofpoint observou um aumento significativo no volume de e-mails maliciosos nas últimas semanas, com a utilização de arquivos ZIP protegidos por senha para implantar um backdoor conhecido como MAYBEROBOT. A empresa também destacou que a nova capacidade de ataque do DarkSword permite ao grupo ampliar seu alcance, visando uma variedade de entidades, incluindo governos e instituições financeiras. A Apple, por sua vez, começou a enviar notificações de segurança para usuários de iPhones e iPads, alertando sobre ataques baseados na web e incentivando a atualização do sistema operacional. A situação é preocupante, especialmente com a democratização do acesso a exploits de estado-nação, o que pode alterar significativamente o cenário de ameaças móveis.

Uma vulnerabilidade crítica, identificada como CVE-2026-3055, foi recentemente divulgada, afetando o Citrix NetScaler ADC e o NetScaler Gateway. Com uma pontuação CVSS de 9.3, a falha se refere a uma validação insuficiente de entrada, que pode levar a uma leitura excessiva de memória, permitindo que um atacante potencialmente vaze informações sensíveis. A exploração bem-sucedida dessa vulnerabilidade depende da configuração do dispositivo como um Provedor de Identidade SAML (SAML IDP).

Atualmente, atividades de reconhecimento ativo estão sendo observadas, com atacantes tentando identificar se as instâncias do NetScaler estão configuradas como SAML IDP. Especialistas de segurança, como a Defused Cyber e a watchTowr, alertaram que a exploração pode ocorrer a qualquer momento, e as organizações que utilizam versões afetadas devem aplicar patches imediatamente. As versões vulneráveis incluem o NetScaler ADC e Gateway 14.1 antes da 14.1-66.59 e 13.1 antes da 13.1-62.23.

A fraude financeira, impulsionada por tecnologias de inteligência artificial (IA), se tornou uma atividade global de alto volume, com perdas estimadas em mais de $400 bilhões em um único ano. Um relatório da Vyntra de 2026 revela que quase dois terços das fraudes são bem-sucedidas no primeiro dia de contato, o que dificulta a intervenção. A IA generativa tem acelerado a criação de campanhas de phishing, reduzindo o tempo necessário para montá-las de mais de 16 horas para menos de 5 minutos. Isso permite que milhares de interações personalizadas ocorram simultaneamente, aumentando tanto o alcance quanto as taxas de sucesso. As fraudes incluem impersonificação de executivos, invasões de contas via phishing e golpes de recrutamento, frequentemente utilizando conteúdo gerado por IA. A combinação de clonagem de voz, vídeos deepfake e credenciais falsificadas fortalece a credibilidade das operações fraudulentas. Além disso, as fraudes de pagamento por transferência autorizada estão crescendo, pois as vítimas iniciam transferências sob condições manipuladas, tornando a detecção mais difícil. A integração da IA nesses esquemas não cria o problema, mas aumenta a eficiência e a escala, complicando os esforços de aplicação da lei. Instituições financeiras estão tentando responder com análises comportamentais e monitoramento em tempo real, mas a necessidade de compartilhamento de inteligência entre fronteiras se torna cada vez mais evidente.

Uma nova campanha de cibersegurança está atacando desenvolvedores no GitHub, utilizando alertas falsos de segurança do Visual Studio Code (VS Code) para induzir usuários a baixar malware. Os posts, que aparecem na seção de Discussões de vários projetos, são elaborados como avisos de vulnerabilidade e apresentam títulos alarmantes, como “Vulnerabilidade Severa - Atualização Imediata Necessária”, frequentemente incluindo IDs de CVE falsos. Os atacantes se passam por mantenedores de código reais, criando uma falsa sensação de legitimidade. A empresa de segurança Socket identificou que essa atividade é parte de uma operação bem organizada, com posts automatizados de contas recém-criadas ou com pouca atividade, que geram notificações por e-mail para um grande número de usuários. Os links nos alertas direcionam para versões supostamente corrigidas de extensões do VS Code, hospedadas em serviços externos como o Google Drive, o que pode enganar os usuários apressados. Ao clicar, os usuários são redirecionados para um site que coleta informações sobre o sistema da vítima. Este incidente destaca a necessidade de cautela ao lidar com alertas de segurança e a importância de verificar a legitimidade das fontes antes de agir.

Hackers do grupo TeamPCP comprometeram o pacote Telnyx no Python Package Index (PyPI), carregando versões maliciosas que distribuem malware projetado para roubar credenciais, oculto dentro de um arquivo WAV. O ataque à cadeia de suprimentos foi detectado por empresas de segurança como Aikido, Socket e Endor Labs, que associaram a ação ao TeamPCP, conhecido por ataques anteriores a sistemas iranianos e por comprometer ferramentas populares como o scanner de vulnerabilidades Trivy. As versões maliciosas 4.87.1 e 4.87.2 do pacote Telnyx foram publicadas, com a segunda versão corrigindo um erro na primeira. O malware, que se ativa automaticamente ao importar o pacote, é capaz de roubar chaves SSH, credenciais e tokens de nuvem em sistemas Linux e macOS, enquanto no Windows, ele se instala na pasta de inicialização para persistência. Pesquisadores alertam que a versão 4.87.0 é a única limpa e recomendam que os desenvolvedores revertam para ela imediatamente. Sistemas que importaram as versões comprometidas devem ser considerados totalmente comprometidos, com a necessidade urgente de rotação de segredos.

O grupo de cibercriminosos TeamPCP comprometeu o pacote Python telnyx, publicando duas versões maliciosas (4.87.1 e 4.87.2) no repositório PyPI, com o objetivo de roubar dados sensíveis. As versões maliciosas, lançadas em 27 de março de 2026, utilizam esteganografia em arquivos .WAV para ocultar suas capacidades de coleta de credenciais. Usuários são aconselhados a reverter para a versão 4.87.0 imediatamente, uma vez que o projeto PyPI está em quarentena. O código malicioso foi injetado no arquivo ’telnyx/_client.py’, sendo ativado ao importar o pacote em aplicações Python, afetando sistemas Windows, Linux e macOS. No Windows, o malware persiste através de um arquivo chamado ‘msbuild.exe’ na pasta de inicialização, enquanto em Linux e macOS, ele realiza uma coleta rápida de dados antes de se autodestruir. O ataque destaca uma nova abordagem dos cibercriminosos, que agora visam pacotes legítimos amplamente utilizados, em vez de publicar diretamente versões maliciosas. Para mitigar a ameaça, desenvolvedores devem auditar seus ambientes Python, rotacionar segredos e bloquear o domínio de exfiltração. Este incidente é parte de uma campanha mais ampla do TeamPCP, que colabora com outros grupos de cibercrime.

A Apple começou a enviar notificações na tela de bloqueio para usuários de iPhones e iPads que operam com versões antigas do iOS e iPadOS, alertando sobre ataques baseados na web e recomendando a atualização dos dispositivos. Essa ação surge após a descoberta de novos kits de exploração, como Coruna e DarkSword, que têm sido utilizados por diversos agentes de ameaças para entregar cargas maliciosas quando usuários acessam sites comprometidos. O kit Coruna visa versões do iOS entre 13.0 e 17.2.1, enquanto o DarkSword é direcionado a versões entre 18.4 e 18.7. A Kaspersky destacou que o Coruna é uma evolução do framework utilizado na Operação Triangulação, que explorava vulnerabilidades do iMessage. A crescente disponibilidade desses kits levanta preocupações sobre a democratização de exploits que antes eram restritos a estados-nação, aumentando o risco de exploração em massa. Para usuários que não podem atualizar, a Apple recomenda ativar o Modo de Bloqueio, disponível em dispositivos com iOS 16 ou superior, como uma medida de proteção contra conteúdos maliciosos.

A Comissão Federal de Comunicações (FCC) dos Estados Unidos implementou uma proibição que impede a venda de novos roteadores domésticos fabricados fora do país. A decisão, que visa proteger a segurança nacional, foi motivada por investigações que indicam que esses dispositivos podem ser utilizados como vetores de ciberespionagem. A medida se aplica a todos os modelos novos, mas os consumidores que já possuem roteadores de marcas como TP-Link e D-Link poderão continuar a usá-los. A proibição surge em um contexto de aumento de ataques cibernéticos, especialmente contra serviços essenciais, como água e energia, realizados por grupos hackers internacionais. A FCC justifica a ação como parte da Estratégia de Segurança Nacional de 2025, que busca realinhar a política externa dos EUA e proteger os cidadãos americanos de riscos cibernéticos.

A Aliança para Criatividade e Entretenimento (ACE) anunciou o fechamento da AnimePlay, uma plataforma de streaming de anime que contava com mais de 5 milhões de usuários, principalmente da Indonésia. A ACE, que é apoiada por grandes redes de televisão e estúdios de cinema, como Disney, Paramount e Netflix, tem como foco a erradicação de serviços de streaming ilegais por meio de ações judiciais e operações de cessação. Recentemente, a ACE também desmantelou a Photocall, uma plataforma de pirataria de TV com 26 milhões de usuários anuais. No caso da AnimePlay, a ACE não apenas fechou a aplicação, mas também tomou controle de toda a infraestrutura, incluindo servidores de hospedagem e domínios associados, efetivamente impedindo que os operadores da plataforma a reativassem. Larissa Knapp, da Motion Picture Association, afirmou que a organização continuará a trabalhar para desmantelar operações criminosas na região da Ásia-Pacífico e globalmente, visando proteger a integridade da economia criativa.

A Comissão Europeia está investigando uma violação de segurança após um ator de ameaça ter acessado sua infraestrutura de nuvem da Amazon. Embora o incidente ainda não tenha sido divulgado publicamente, fontes informaram que pelo menos uma conta utilizada para gerenciar a infraestrutura comprometida foi afetada. O ataque foi detectado rapidamente e a equipe de resposta a incidentes de cibersegurança da Comissão está em ação. O ator responsável pela violação alegou ter roubado mais de 350 GB de dados, incluindo múltiplos bancos de dados, e forneceu capturas de tela como prova de acesso a informações de funcionários da Comissão. Embora não tenha intenção de extorquir a Comissão, o ator planeja vazar os dados online posteriormente. Este incidente segue uma violação anterior em fevereiro, relacionada a um hack na plataforma de gerenciamento de dispositivos móveis da Comissão, que também afetou outras instituições europeias. As recentes brechas de segurança ocorrem em um contexto onde a Comissão propôs novas legislações de cibersegurança para fortalecer defesas contra atores estatais e grupos de cibercrime, destacando a crescente preocupação com a segurança das infraestruturas críticas na Europa.

Uma nova campanha de phishing está atacando contas do TikTok para Empresas, utilizando páginas falsas que imitam a plataforma. De acordo com um relatório da Push Security, os atacantes estão usando links maliciosos que redirecionam as vítimas para páginas que se parecem com o TikTok para Empresas ou Google Careers, onde são solicitadas credenciais. O objetivo final é realizar uma verificação do Cloudflare Turnstile para bloquear bots e, em seguida, exibir uma página de login de phishing para roubar informações. Além disso, a campanha também se aproveita de infostealers como Vidar e Aura Stealer, entregues através de vídeos gerados por IA que se disfarçam como guias de ativação. Os domínios utilizados para hospedar essas páginas de phishing incluem uma série de endereços que começam com ‘welcome.careers’. Outra campanha observada recentemente utiliza arquivos SVG maliciosos para entregar malware, destacando a versatilidade dos métodos de ataque. Essa situação ressalta a necessidade de vigilância constante e educação sobre segurança cibernética, especialmente para empresas que operam em plataformas sociais populares como o TikTok.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Open VSX, que afeta o processo de verificação de extensões do Visual Studio Code (VS Code). A falha, identificada como ‘Open Sesame’, permitiu que extensões maliciosas passassem pelo processo de verificação e fossem publicadas no repositório. O problema reside em um retorno booleano que não diferencia entre ’nenhum scanner configurado’ e ’todos os scanners falharam’, levando a uma interpretação errônea dos resultados de verificação. Quando os scanners falhavam sob carga, o Open VSX considerava que não havia nada a escanear, permitindo que extensões maliciosas fossem ativadas e disponibilizadas para download. A vulnerabilidade foi explorada por atacantes que inundaram o endpoint de publicação com várias extensões maliciosas, esgotando o pool de conexões do banco de dados e impedindo que os trabalhos de verificação fossem enfileirados. A falha foi corrigida na versão 0.32.0 do Open VSX, após divulgação responsável em fevereiro de 2026. A situação destaca a importância de um design robusto em pipelines de segurança, onde estados de falha devem ser explicitamente tratados.

A Polícia Nacional da Holanda (Politie) confirmou um incidente de segurança resultante de um ataque de phishing, que teve impacto limitado e não afetou os dados dos cidadãos. O Centro de Operações de Segurança da polícia detectou rapidamente o ataque e bloqueou o acesso dos invasores aos sistemas comprometidos. Embora a investigação sobre o impacto continue, a polícia assegurou que dados de cidadãos e informações de investigações não foram expostos ou acessados. O incidente está sendo investigado por especialistas em segurança da agência, e uma investigação criminal foi iniciada. Detalhes sobre a data da detecção do ataque e se dados de funcionários foram comprometidos ainda não foram divulgados. Este ataque ocorre em um contexto de crescente preocupação com a segurança cibernética, especialmente após um vazamento de dados em setembro de 2024, que envolveu informações de contato de policiais, atribuído a um ‘ator estatal’. Após o incidente, a polícia implementou medidas de segurança mais rigorosas, incluindo a autenticação de dois fatores para o acesso a contas. O ataque ressalta a necessidade de vigilância contínua e a implementação de práticas de segurança robustas para proteger informações sensíveis.

Pesquisadores de cibersegurança revelaram três vulnerabilidades críticas que afetam os frameworks LangChain e LangGraph, amplamente utilizados para desenvolver aplicações com Modelos de Linguagem de Grande Escala (LLMs). As falhas, se exploradas, podem expor dados sensíveis, como arquivos do sistema, segredos de ambiente e históricos de conversas. As vulnerabilidades identificadas são: CVE-2026-34070, uma vulnerabilidade de travessia de caminho que permite acesso a arquivos arbitrários; CVE-2025-68664, que vaza chaves de API e segredos de ambiente através da desserialização de dados não confiáveis; e CVE-2025-67644, uma injeção SQL que permite manipulação de consultas SQL no LangGraph. As versões corrigidas foram lançadas, e a exploração bem-sucedida dessas falhas pode resultar em acesso não autorizado a informações críticas. A situação é alarmante, especialmente considerando a rápida exploração de vulnerabilidades semelhantes em outras plataformas, como o Langflow. A necessidade de aplicar patches rapidamente é enfatizada, dado o potencial impacto em sistemas que dependem do LangChain, que é parte de uma vasta rede de bibliotecas e integrações.

O grupo de hackers pro-Ucrânia conhecido como Bearlyfy, também chamado de Labubu, tem sido responsável por mais de 70 ataques cibernéticos direcionados a empresas russas desde sua aparição em janeiro de 2025. Recentemente, o grupo começou a utilizar uma nova variante de ransomware chamada GenieLocker, que ataca sistemas Windows. Segundo a empresa de segurança russa F6, os ataques do Bearlyfy têm como objetivos tanto a extorsão financeira quanto atos de sabotagem. Inicialmente, o grupo focou em pequenas empresas, mas suas demandas de resgate aumentaram, chegando a €80.000 (cerca de $92.100) e, em alguns casos, até centenas de milhares de dólares. Os ataques são caracterizados por uma rápida execução, com os hackers utilizando ferramentas como MeshAgent para obter acesso remoto e criptografar dados. Além disso, as notas de resgate são elaboradas diretamente pelos atacantes, ao invés de serem geradas automaticamente pelo software de ransomware. A evolução do Bearlyfy em um ano, de um grupo inexperiente para uma ameaça significativa para grandes empresas russas, destaca a crescente complexidade e sofisticação de suas operações.

A segurança cibernética é uma preocupação crescente para as organizações, mas muitas vezes as equipes acreditam que suas defesas estão funcionando apenas porque os alertas estão ativos e os painéis de controle parecem em ordem. No entanto, um aspecto crucial frequentemente negligenciado é a validação da eficácia dessas defesas em situações reais de ataque. O webinar “Exposure-Driven Resilience: Automate Testing to Validate & Improve Your Security Posture” aborda essa lacuna, enfatizando a importância de parar de adivinhar e começar a provar a eficácia das medidas de segurança.

A computação quântica representa uma nova fronteira tecnológica que pode comprometer a segurança digital global, expondo senhas, transações bancárias e segredos de estado. O artigo destaca que a criptografia moderna se baseia na complexidade exponencial de quebrar chaves criptográficas, um desafio que computadores clássicos enfrentam. No entanto, os computadores quânticos, ao utilizarem princípios da física quântica, podem reduzir drasticamente o número de operações necessárias para resolver problemas complexos, tornando a quebra de criptografia uma tarefa viável em questão de horas. O algoritmo de Shor, conhecido desde a década de 1990, é um exemplo de como a computação quântica pode quebrar a criptografia que sustenta a segurança da Internet atual. A urgência da situação é ressaltada, pois atores maliciosos já estão coletando dados criptografados hoje para descriptografá-los no futuro. A solução proposta é a Criptografia Pós-Quântica (CPQ), que utiliza novas estruturas matemáticas resistentes a ataques quânticos. A transição para essa nova era não é uma questão futura, mas uma necessidade imediata para a segurança das infraestruturas de TICs.

O clube de futebol profissional holandês AFC Ajax, conhecido por sua história de sucesso, revelou que um hacker explorou vulnerabilidades em seus sistemas de TI, acessando dados de algumas centenas de pessoas. O incidente permitiu a transferência de ingressos comprados e a modificação de proibições de acesso ao estádio impostas a certos indivíduos. A descoberta das falhas de segurança foi feita pelo clube após jornalistas receberem informações do próprio hacker. Segundo a declaração do Ajax, apenas os endereços de e-mail de algumas centenas de pessoas foram visualizados, além de dados pessoais de menos de 20 indivíduos com proibição de acesso ao estádio. A investigação realizada por jornalistas confirmou que era possível transferir ingressos de forma rápida e acessar registros de proibições, além de obter acesso a dados de torcedores através de APIs. O clube contratou especialistas externos para determinar a extensão do incidente e já corrigiu as vulnerabilidades identificadas. A Autoridade de Proteção de Dados da Holanda e a polícia foram notificadas. Embora o hacker tenha agido de forma não maliciosa, a situação levanta preocupações sobre a segurança dos dados dos torcedores, que devem estar atentos a comunicações suspeitas.

O artigo explora como as táticas de falsificação de Elmyr de Hory, um notório forjador de obras de arte, oferecem lições valiosas para a cibersegurança moderna. Nos dias atuais, os atacantes cibernéticos utilizam inteligência artificial (IA) para imitar comportamentos legítimos e se infiltrar em redes, tornando-se cada vez mais difíceis de detectar. Com 81% dos ataques sendo livres de malware, os invasores empregam técnicas como Living-off-the-Land (LotL), que utilizam ferramentas e credenciais legítimas para realizar suas atividades maliciosas.

Uma campanha de espionagem cibernética atribuída a um ator de ameaça vinculado à China tem se infiltrado em redes de telecomunicações para atacar redes governamentais. O grupo, conhecido como Red Menshen, tem um histórico de ataques a provedores de telecomunicações no Oriente Médio e na Ásia desde 2021. A Rapid7 descreveu os mecanismos de acesso como “algumas das células digitais mais furtivas” já encontradas. A campanha utiliza implantes em nível de kernel, backdoors passivos e ferramentas de coleta de credenciais, destacando um backdoor Linux chamado BPFDoor. Este malware é notável por não expor portas de escuta, ativando-se apenas quando recebe um pacote de ativação específico. Os ataques começam com a exploração de infraestruturas expostas, como dispositivos VPN e firewalls. Após obter acesso, são implantados frameworks de comando e controle para facilitar atividades pós-exploração. O BPFDoor permite monitorar protocolos nativos de telecomunicações, oferecendo visibilidade sobre o comportamento e a localização de assinantes. Uma variante recente do BPFDoor foi encontrada, que se camufla dentro do tráfego HTTPS, aumentando sua evasão. Essa evolução nas táticas de ataque destaca a necessidade de vigilância contínua em ambientes críticos de telecomunicações.

O FBI, em colaboração com o Departamento de Justiça dos EUA e autoridades internacionais, desativou quatro botnets conhecidas como Aisuru, KimWolf, JackSkid e Mossad, que impactaram mais de 3 milhões de dispositivos domésticos com ataques de Negação de Serviço Distribuído (DDoS). Esses ataques, considerados sem precedentes, conseguiram transferir até 30 terabits de dados por segundo, o que poderia paralisar a infraestrutura da internet. As botnets operavam sob um modelo de Crime como Serviço (CaaS), comercializando ferramentas ilegais para hackers, o que ampliou a escala dos ataques. A operação incluiu a apreensão de domínios e servidores, interrompendo a comunicação entre os hackers e os dispositivos infectados. Especialistas alertam que os danos financeiros decorrentes desses ataques podem ser significativos, especialmente na recuperação dos sistemas afetados.

O FBI e a Agência de Segurança Cibernética e de Infraestrutura (CISA) estão investigando uma nova campanha de phishing que utiliza os aplicativos de mensagens WhatsApp e Signal para roubar dados confidenciais. Os ataques são realizados por hackers associados aos serviços de inteligência da Rússia, que visam indivíduos considerados de alto valor, como funcionários do governo dos EUA, militares e jornalistas. A estratégia dos criminosos não envolve a exploração de vulnerabilidades nos aplicativos, mas sim o envio de mensagens fraudulentas que alertam sobre atividades suspeitas nas contas das vítimas. Essas mensagens criam uma falsa sensação de urgência, levando as pessoas a agirem impulsivamente e a fornecerem acesso às suas contas. Embora o foco esteja em alvos específicos nos Estados Unidos, o alerta é relevante para usuários comuns no Brasil, que devem estar atentos a mensagens de desconhecidos e links suspeitos. A situação destaca a importância da cautela ao usar aplicativos de mensagens, especialmente em um cenário onde a segurança digital é cada vez mais ameaçada.

Criminosos estão explorando a credibilidade do portal gov.br para disseminar malware que captura senhas e dados bancários. Segundo Rodolfo Almeida, cofundador da ViperX, o ataque se diferencia dos golpes tradicionais, pois induz a vítima a baixar um arquivo malicioso em vez de coletar dados por meio de formulários falsos. O golpe começa com um link enviado via SMS, WhatsApp ou e-mail, que redireciona para uma página idêntica ao gov.br, onde a vítima é instruída a baixar um arquivo. Uma vez executado, o malware, conhecido como ‘infostealer’, se camufla em aplicativos legítimos do Windows e opera em segundo plano, registrando digitações e capturando telas. A eficácia desse golpe está ligada à confiança que o público deposita nas instituições governamentais, aumentando a taxa de conversão do ataque. Para se proteger, Almeida recomenda verificar o endereço do link, desconfiar de downloads, ativar a autenticação em dois fatores e manter sistemas atualizados. Caso alguém suspeite de infecção, deve encerrar sessões abertas e notificar o banco imediatamente.

O grupo de ransomware PEAR reivindicou a responsabilidade por um ataque cibernético à Universidade de Monmouth, ocorrido no início deste mês. O presidente da universidade, Patrick Leahy, informou os alunos sobre o incidente, que resultou em acesso não autorizado a informações na rede da instituição. PEAR afirma ter roubado 16 TB de dados e publicou amostras de documentos supostamente extraídos da universidade em seu site de vazamento de dados. Embora a universidade tenha iniciado protocolos de resposta e notificado o FBI e o Departamento de Educação, não há confirmação sobre a veracidade das alegações do grupo, nem se a universidade pagou um resgate. O ataque destaca a crescente ameaça de ransomware no setor educacional dos EUA, com pelo menos seis ataques confirmados em instituições de ensino em 2026. O grupo PEAR, que se especializa em roubo de dados sem criptografá-los, já reivindicou 64 ataques, com 13 confirmados por entidades alvo. A universidade se comprometeu a investigar o incidente e a melhorar a segurança de seus sistemas para evitar futuros ataques.

Em 24 de março de 2026, o pacote LiteLLM foi alvo de um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP. Duas versões maliciosas (1.82.7 e 1.82.8) foram publicadas no PyPi, executando automaticamente um payload para roubo de credenciais e permitindo a exfiltração de dados sensíveis, como tokens de API, dados em nuvem e chaves SSH. O LiteLLM, uma biblioteca Python de código aberto, é amplamente utilizada, com cerca de 97 milhões de downloads mensais, o que aumenta a gravidade do incidente. Estima-se que cerca de 500.000 credenciais já tenham sido comprometidas, e especialistas alertam que isso pode ser apenas o começo de um ataque maior. Ferramentas de segurança tradicionais falharam em detectar a exploração, e muitos desenvolvedores podem não estar cientes de que o LiteLLM é uma dependência em seus projetos. Em resposta, a Point Wild desenvolveu um scanner de IA chamado ‘who-touched-my-packages’ para detectar comportamentos maliciosos em pacotes de terceiros. O TeamPCP também é responsável por outros ataques recentes, incluindo a distribuição de malware via o scanner de vulnerabilidades Trivy e uma campanha que visa clusters Kubernetes. Os ataques à cadeia de suprimentos estão se tornando uma prioridade para hackers, pois permitem acesso a múltiplas organizações a partir de uma única fonte.

O grupo de ransomware Interlock adicionou a Goodwill Industries da Pensilvânia Central ao seu site de vazamento de dados após alegadamente roubar 80 GB de informações. O ataque, que ocorreu em março de 2026, gerou problemas técnicos em várias lojas, incluindo a interrupção de sistemas que forçaram clientes a pagar apenas em dinheiro. Funcionários relataram que o sistema foi hackeado, corroborando a situação com postagens nas redes sociais. A Goodwill Industries International afirmou não ter conhecimento de um ataque cibernético em seus sites, sugerindo que as informações sobre a Goodwill de Greater Grand Rapids deveriam ser verificadas diretamente com eles. O Interlock, que começou a registrar vítimas em outubro de 2024, já realizou 96 ataques, utilizando uma técnica de dupla extorsão, onde exige um resgate para descriptografar sistemas e também ameaça vender dados na dark web. Este incidente destaca a vulnerabilidade de organizações sem fins lucrativos e a crescente ameaça de ataques de ransomware nos Estados Unidos, que já contabilizam 41 ataques confirmados em 2026, afetando diversas instituições, incluindo escolas e organizações de saúde.

O kit de exploração Coruna representa uma evolução do framework utilizado na campanha de espionagem Operation Triangulation, que em 2023 visou iPhones através de exploits zero-click no iMessage. Este novo software foi ampliado para atacar hardware moderno, incluindo os chips A17 e M3 da Apple, e sistemas operacionais até iOS 17.2. O Coruna contém cinco cadeias completas de exploits para iOS, aproveitando 23 vulnerabilidades, incluindo CVE-2023-32434 e CVE-2023-38606, que também foram utilizadas na Operation Triangulation. A análise da Kaspersky revelou que o Coruna é uma versão atualizada do exploit original, com melhorias que permitem a exploração de novas arquiteturas de processadores. Os ataques iniciam no Safari, onde um stager coleta informações do dispositivo e seleciona exploits adequados. A Kaspersky alerta que, além de espionagem, o Coruna tem sido usado em campanhas motivadas financeiramente, visando roubo de criptomoedas. A Apple já lançou atualizações de segurança para mitigar essas vulnerabilidades, mas a ameaça permanece significativa, especialmente com a disponibilidade pública de outros kits de exploração como o DarkSword.

Os ataques de fraude modernos se assemelham a uma corrida de revezamento, onde diferentes ferramentas e atores gerenciam cada etapa do processo, desde o cadastro até o saque. A cadeia de ataque típica começa com a automação, onde bots e scripts criam um grande número de contas com esforço humano mínimo, utilizando e-mails comprometidos e credenciais vazadas para parecerem usuários legítimos. Proxies residenciais mascaram o tráfego, fazendo-o parecer de usuários normais. Após a criação das contas, os atacantes mudam para sessões manuais, utilizando táticas como phishing e malware para realizar transações de alto valor. A análise de um único sinal, como IP ou e-mail, pode levar a falsos positivos, pois usuários legítimos podem compartilhar a mesma infraestrutura que os atacantes. Para uma defesa eficaz, é essencial correlacionar sinais de IP, identidade, dispositivo e comportamento em um modelo de risco unificado. Essa abordagem permite identificar padrões de abuso coordenado e reduzir a fricção para usuários genuínos. O artigo destaca a importância de um modelo de múltiplos sinais para melhorar a precisão na detecção de fraudes, essencial para empresas que buscam proteger suas operações e receitas.

O WhatsApp está implementando diversas funcionalidades para melhorar a experiência do usuário, incluindo respostas automáticas baseadas em IA e retouching de fotos. A empresa Meta anunciou que os usuários poderão editar imagens antes de compartilhá-las, utilizando a tecnologia de IA da Meta. Além disso, a nova funcionalidade de ‘Ajuda para Escrita’ permite que os usuários redijam mensagens com base na conversa ativa, garantindo a privacidade através do ‘Processamento Privado’, que assegura que nem a Meta nem o WhatsApp leiam as mensagens. Outra novidade é a possibilidade de usar duas contas simultaneamente no iOS, já disponível no Android, e a transferência de histórico de chats entre dispositivos iOS e Android. Essas atualizações visam facilitar a migração de dados e a gestão de conversas. A Meta também introduziu contas gerenciadas por pais para pré-adolescentes e novas proteções contra fraudes, especialmente após alertas de agências de inteligência sobre ataques de phishing. A empresa lançou ainda uma funcionalidade de segurança para proteger usuários em risco, como jornalistas e figuras públicas, contra ameaças sofisticadas, incluindo spyware.

Recentemente, contas do TikTok for Business estão sendo alvo de uma campanha de phishing que dificulta a análise por bots de segurança. Os atacantes visam essas contas devido ao seu potencial para fraudes publicitárias e distribuição de conteúdo malicioso. A empresa Push Security relaciona essa campanha a uma anterior que afetou contas do Google Ad Manager. Os criminosos utilizam páginas de phishing hospedadas no Cloudflare, registradas em um domínio frequentemente associado a atividades cibernéticas ilícitas. Os usuários são atraídos por links que redirecionam para páginas falsas que imitam o TikTok e o Google Careers, solicitando informações básicas para validar o uso de e-mails corporativos. Após essa validação, uma página de login falsa captura credenciais e cookies de sessão, permitindo que os atacantes acessem contas, mesmo com a autenticação de dois fatores (2FA) ativada. É crucial que os usuários estejam atentos a convites e ofertas de emprego suspeitas e verifiquem sempre os domínios antes de inserir credenciais. A campanha destaca a vulnerabilidade das contas de negócios e a necessidade de medidas de segurança robustas.

O Escritório de Relações Exteriores, Comunidade e Desenvolvimento do Reino Unido (FCDO) impôs sanções ao Xinbi, um mercado online em língua chinesa que comercializa dados roubados e equipamentos de internet via satélite, supostamente utilizado por redes de fraude no Sudeste Asiático. O Xinbi, que opera via Telegram, é acusado de ajudar atores de ameaças da Coreia do Norte a lavar criptomoedas obtidas em grandes roubos. Entre 2021 e 2025, o mercado processou mais de $19,9 bilhões, facilitando desde negociações não licenciadas até a venda de bancos de dados pessoais roubados. As sanções também atingem o #8 Park, um grande centro de fraudes em Camboja, e a Legend Innovation Co, operadora do local. O FCDO busca isolar o Xinbi do ecossistema legítimo de criptomoedas, dificultando suas operações financeiras. O governo britânico enfatiza que não tolerará abusos de direitos humanos associados a esses centros de fraude, que frequentemente coagem trabalhadores a participar de esquemas criminosos globais, como fraudes de investimento em criptomoedas. As sanções são parte de uma ação mais ampla contra redes criminosas que exploram pessoas vulneráveis, com o Reino Unido liderando esforços internacionais para combater o financiamento ilícito.

Recentemente, a Kaspersky revelou que o kit de exploração Coruna, que afeta dispositivos Apple com iOS entre as versões 13.0 e 17.2.1, utiliza uma versão atualizada de um exploit previamente empregado na campanha de ciberespionagem Operation Triangulation, de 2023. O Coruna, inicialmente identificado por Google e iVerify, contém cinco cadeias completas de exploits para iOS e um total de 23 exploits, incluindo os CVEs 2023-32434 e 2023-38606. Esses exploits foram projetados para atacar vulnerabilidades do sistema operacional móvel da Apple, com um foco crescente em dispositivos mais recentes, como os processadores A17 e M3. O kit foi utilizado em ataques de watering hole na Ucrânia e em campanhas de exploração em massa através de sites falsos de jogos e criptomoedas. A Kaspersky alerta que, embora o Coruna tenha sido desenvolvido para fins de ciberespionagem, agora está sendo utilizado por cibercriminosos, colocando milhões de usuários em risco. O uso de exploits modulares e a facilidade de reutilização indicam que outros atores maliciosos podem adotar essa ferramenta em seus ataques.

Nesta semana, o boletim de segurança destaca uma série de ameaças cibernéticas e inovações tecnológicas. A Google anunciou um cronograma acelerado para a migração para a criptografia pós-quântica (PQC), visando proteger dados contra futuros ataques de computadores quânticos. A atualização inclui a integração do algoritmo de assinatura digital ML-DSA no Android 17, aumentando a segurança durante o processo de inicialização. Além disso, o GitHub introduziu detecções de segurança impulsionadas por IA para identificar vulnerabilidades em códigos, melhorando a cobertura de segurança em diversas linguagens e frameworks.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade crítica na extensão do Google Chrome do assistente Claude, da Anthropic, que poderia ser explorada para injetar comandos maliciosos apenas ao visitar uma página da web. A falha, chamada ShadowPrompt, resulta de uma lista de permissões excessivamente permissiva e uma vulnerabilidade de cross-site scripting (XSS) em um componente CAPTCHA da Arkose Labs. Essa combinação permite que um atacante injete código JavaScript que simula um comando legítimo do usuário, possibilitando o roubo de dados sensíveis, acesso ao histórico de conversas e até ações em nome da vítima, como o envio de e-mails. Após a divulgação responsável da vulnerabilidade em dezembro de 2025, a Anthropic lançou uma correção que restringe as permissões da extensão, enquanto a Arkose Labs também corrigiu a falha de XSS. A crescente complexidade e capacidade dos assistentes de IA os tornam alvos valiosos para ataques, destacando a importância de uma segurança robusta nas extensões de navegador.

As VPNs (Redes Privadas Virtuais) são ferramentas essenciais para proteger a privacidade online, mas é crucial entender quais dados elas coletam para operar. Embora uma VPN precise de algumas informações para funcionar, como logs de conexão, que incluem o endereço IP original e os horários de início e término das sessões, a coleta excessiva de dados pode comprometer a privacidade do usuário. VPNs que se autodenominam ‘sem registros’ prometem não armazenar informações sobre as atividades online, mas muitas ainda mantêm dados mínimos para garantir a operação do serviço. É importante diferenciar entre VPNs ‘sem registros’ e ‘zero registros’, sendo que as últimas não mantêm nenhum tipo de log, nem mesmo dados não identificáveis. A coleta de logs de atividade, que pode incluir sites visitados e consultas DNS, é a maior preocupação em termos de privacidade, pois pode permitir a reconstrução das atividades do usuário. Além disso, VPNs gratuitas frequentemente coletam dados de forma excessiva, vendendo informações para terceiros. Para escolher uma VPN confiável, os usuários devem priorizar provedores com práticas transparentes e um histórico sólido de proteção à privacidade.