Cibersegurança

Da phishing ao impacto Por que MSPs devem repensar segurança e recuperação

Os ataques cibernéticos modernos evoluíram, combinando técnicas como phishing gerado por IA, comprometimento de e-mails corporativos, ransomware e abuso de SaaS para acessar ambientes empresariais e interromper operações. O webinar ‘Da phishing ao impacto: Por que MSPs devem repensar segurança e recuperação’, promovido pela BleepingComputer, abordará a necessidade de as organizações não se basearem apenas na prevenção, mas também em estratégias de backup e recuperação, que se tornaram essenciais para a resiliência cibernética. Os atacantes estão cada vez mais utilizando infraestruturas confiáveis e plataformas SaaS legítimas para contornar defesas tradicionais, e muitas vezes as organizações têm dificuldade em conter ataques antes que ocorram interrupções operacionais ou perda de dados. O evento discutirá como as equipes de TI e os provedores de serviços gerenciados (MSPs) podem mitigar o impacto de ataques modernos, fortalecendo tanto a postura de segurança quanto a prontidão para recuperação. Serão abordados tópicos como a evolução do phishing impulsionado por IA, a importância de backups de SaaS e a necessidade de um plano de continuidade de negócios (BCDR) como camadas críticas de resiliência cibernética.

Exploração de zero-day com uso de IA em ferramenta de administração web

Pesquisadores do Google Threat Intelligence Group (GTIG) relataram que um exploit de zero-day, que visa uma popular ferramenta de administração web de código aberto, foi provavelmente gerado com o auxílio de inteligência artificial (IA). Este exploit poderia contornar a proteção de autenticação de dois fatores (2FA) do sistema, que não foi nomeado. Embora o ataque tenha sido frustrado antes de uma exploração em massa, o incidente destaca a crescente dependência de atores maliciosos em ferramentas de IA para descobrir e explorar vulnerabilidades. A análise do código do exploit, escrito em Python, sugere que um modelo de linguagem de grande porte (LLM) foi utilizado, evidenciado pela presença de docstrings educacionais e um formato estruturado típico de dados de treinamento de LLMs. Além disso, o tipo de falha explorada é uma lógica semântica de alto nível, que sistemas de IA são particularmente bons em identificar. O Google também observou que grupos de hackers da China e da Coreia do Norte têm utilizado modelos de IA para desenvolvimento de exploits, enquanto atores ligados à Rússia têm empregado código gerado por IA para ofuscar malware. O relatório alerta que os atores de ameaças estão industrializando o acesso a modelos de IA premium, utilizando infraestrutura automatizada para criação de contas e proxies.

A vulnerabilidade dos resets de senha em ambientes de Active Directory

Os resets de senha são uma resposta comum a suspeitas de comprometimento de contas, mas não resolvem completamente o problema em ambientes de Active Directory (AD) e Entra ID. Após um reset, as credenciais antigas podem permanecer válidas por um curto período, permitindo que atacantes mantenham acesso. Isso ocorre devido ao cache local de hashes de senha nos sistemas Windows e a possíveis atrasos na sincronização de senhas em ambientes híbridos. Existem três estados possíveis após um reset: o usuário logou com a nova senha, não logou em um dispositivo específico ou a nova senha ainda não foi sincronizada. Os atacantes podem explorar essas lacunas utilizando técnicas como pass-the-hash e mantendo sessões ativas com tickets Kerberos válidos. Para mitigar esses riscos, é crucial invalidar sessões ativas, revisar permissões e rotacionar senhas de contas de serviço. A implementação de soluções como o Specops uReset pode ajudar a garantir que os resets de senha sejam mais seguros e eficazes, reduzindo a exposição a ataques. A segurança das senhas no AD é vital, considerando que 44,7% das violações de dados envolvem credenciais roubadas, segundo o relatório da Verizon.

Vulnerabilidade na Instructure permite ataque a portais Canvas

A Instructure, empresa responsável pelo Canvas, um sistema de gestão de aprendizagem amplamente utilizado, confirmou que uma vulnerabilidade de segurança permitiu que hackers modificassem portais de login do Canvas e deixassem uma mensagem de extorsão. O ataque envolveu múltiplas falhas de cross-site scripting (XSS), que possibilitaram ao invasor obter sessões administrativas autenticadas. Em 29 de abril, a Instructure detectou a violação e imediatamente revogou o acesso não autorizado, iniciando uma investigação com especialistas forenses. Dias depois, foi confirmado que dados foram roubados, totalizando mais de 3,6 terabytes de informações. O grupo ShinyHunters, responsável pelo ataque, utilizou a mesma vulnerabilidade em um segundo ataque em 7 de maio, pressionando a Instructure a negociar um resgate. A empresa tomou medidas para mitigar os danos, incluindo a suspensão temporária de contas do Canvas. Embora o ataque não tenha comprometido dados durante a defaceação, a violação inicial afetou 8.809 instituições educacionais, resultando na possível exposição de 275 milhões de registros de alunos e funcionários. A Instructure restaurou o Canvas em 9 de maio, mas a situação destaca a necessidade de vigilância contínua em sistemas educacionais.

Falhas de Segurança em Sistemas de Nuvem e Malware Emergente

O cenário de cibersegurança continua a ser alarmante, com novas vulnerabilidades sendo exploradas ativamente. Recentemente, a Ivanti alertou sobre a exploração de uma falha crítica (CVE-2026-6973) em seu Endpoint Manager Mobile, permitindo que usuários autenticados executem código remotamente. Além disso, uma vulnerabilidade zero-day em firewalls da Palo Alto Networks (CVE-2026-0300) também está sendo explorada, afetando cerca de 263 mil hosts expostos na Internet.

Outro destaque é o surgimento do Quasar Linux RAT, um trojan modular que transforma sistemas Linux em pontos de entrada para ataques em cadeia, utilizando uma rede P2P para comunicação entre sistemas comprometidos. A campanha PCPJack, que substitui o malware TeamPCP, visa roubar credenciais de serviços em nuvem, propagando-se lateralmente em redes.

Google revela uso de IA em exploração de vulnerabilidades

O Google anunciou a descoberta de um ator de ameaças desconhecido utilizando um exploit de zero-day, supostamente desenvolvido com um sistema de inteligência artificial (IA). Esta é a primeira vez que a tecnologia é empregada em um contexto malicioso para a descoberta e geração de exploits. A operação, descrita como uma “operação de exploração de vulnerabilidades em massa”, envolveu a colaboração de grupos de cibercrime. O exploit, que permite contornar a autenticação de dois fatores (2FA) em uma ferramenta de administração de sistemas web de código aberto, foi implementado em um script Python. O Google trabalhou com o fornecedor afetado para divulgar a falha de forma responsável e garantir sua correção. Embora não haja evidências de que o Google Gemini tenha sido usado, a análise sugere que um modelo de IA foi instrumental na descoberta da vulnerabilidade. Além disso, a IA está acelerando a descoberta de vulnerabilidades e permitindo o desenvolvimento de malware polimórfico, como o PromptSpy, que pode monitorar atividades do usuário e capturar dados biométricos. O uso de IA por grupos de ameaças, incluindo grupos ligados à China e à Coreia do Norte, tem se intensificado, levantando preocupações sobre a segurança cibernética em um cenário global cada vez mais complexo.

Grupo de ransomware Lynx ataca escola católica no Reino Unido

No final de semana, o grupo de ransomware Lynx reivindicou um ataque ocorrido em março de 2026 na St Anne’s Catholic School, em Southampton, Reino Unido. O grupo afirma ter roubado informações confidenciais, dados financeiros e contratos da instituição. Em um comunicado enviado aos pais no dia 22 de março, a escola confirmou o ataque e permaneceu fechada por quatro dias, reabrindo em 27 de março. O diretor, Julian Waterfield, afirmou que não há evidências de que dados tenham sido comprometidos, ressaltando que o impacto foi a perda temporária de controle sobre a rede da escola. O Lynx, que opera sob um modelo de Ransomware-as-a-Service (RaaS), realiza ataques em duas etapas: primeiro, criptografa os sistemas e exige um resgate, e segundo, mantém os dados roubados como moeda de troca. Até o momento, a St Anne’s não confirmou as alegações do Lynx sobre o roubo de dados ou se um resgate foi pago. Este é o primeiro ataque confirmado a uma instituição educacional pelo grupo, que tem como alvo principal organizações governamentais e empresas. Até agora, em 2026, foram registrados 120 ataques de ransomware no Reino Unido, com seis confirmados pelas vítimas.

Nova variante do malware TrickMo ataca usuários de Android na Europa

Uma nova variante do malware TrickMo, focada em bancos, foi identificada em campanhas que visam usuários na Europa, especialmente na França, Itália e Áustria. Desde sua primeira aparição em setembro de 2019, o TrickMo tem passado por constantes atualizações e agora se disfarça como aplicativos populares, como TikTok e plataformas de streaming. A análise da ThreatFabric revela que essa versão, chamada ‘Trickmo.C’, utiliza a rede descentralizada The Open Network (TON) para comunicações furtivas com seus operadores, dificultando a identificação e bloqueio do servidor. O malware é modular e opera em duas etapas: um APK que atua como carregador e um segundo APK que executa funções ofensivas, como roubo de credenciais bancárias, keylogging e interceptação de SMS. Novas capacidades incluem suporte a proxy SOCKS5 e tunelamento SSH. Os usuários de Android são aconselhados a baixar aplicativos apenas do Google Play e a manter o Play Protect ativo para se proteger contra essa ameaça crescente.

Ataque de cadeia de suprimentos compromete usuários do Hugging Face

Um repositório malicioso no Hugging Face conseguiu enganar usuários ao se passar pelo modelo Privacy Filter da OpenAI, resultando na distribuição de um malware ladrão de informações para usuários do Windows. O projeto, intitulado Open-OSS/privacy-filter, copiou a descrição do modelo legítimo da OpenAI para atrair downloads. Após a descoberta, o acesso ao repositório foi desativado. O malware, que utiliza um script Python para executar código malicioso, desativa a verificação SSL e baixa um script adicional que eleva privilégios e configura exclusões no Microsoft Defender. O ladrão de informações coleta dados sensíveis, como capturas de tela e informações de carteiras de criptomoedas, e exfiltra os dados para um domínio controlado pelos atacantes. O repositório malicioso alcançou rapidamente a primeira posição na lista de tendências do Hugging Face, com cerca de 244 mil downloads em apenas 18 horas, sugerindo que os números foram manipulados para criar uma falsa sensação de confiança. Além disso, foram identificados outros seis repositórios com características semelhantes, indicando uma operação mais ampla de ataque a ecossistemas de código aberto.

Usuários de smartphones ignoram riscos de segurança básicos

Um estudo recente revelou que a maioria dos usuários de smartphones confia nas ferramentas de segurança integradas em seus dispositivos, ignorando a necessidade de proteção adicional. Apenas 18% dos entrevistados pagam por software antivírus de terceiros, enquanto 14% não possuem nenhuma ferramenta de cibersegurança instalada. A pesquisa, realizada com mais de 1.000 adultos americanos, mostra que a adoção de antivírus pagos em dispositivos móveis caiu 10% nos últimos anos, enquanto no desktop, o uso de soluções pagas cresceu. Os usuários acreditam que as funcionalidades de segurança já disponíveis em seus smartphones são suficientes, o que pode ser um erro, dado o aumento das ameaças cibernéticas, como ataques de ransomware. Embora a maioria dos usuários combine diferentes abordagens de segurança, muitos ainda estão desinformados sobre as proteções que possuem. Marcas estabelecidas como McAfee e Norton continuam a dominar o mercado de antivírus pagos, enquanto soluções menos conhecidas enfrentam dificuldades para ganhar a confiança dos consumidores.

Vulnerabilidade crítica no Ollama pode expor dados sensíveis

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no framework open-source Ollama, que permite a execução local de grandes modelos de linguagem. A falha, identificada como CVE-2026-7482, possui um CVSS de 9.1 e pode afetar mais de 300.000 servidores globalmente. A vulnerabilidade é um erro de leitura fora dos limites que permite a um atacante remoto e não autenticado vazar toda a memória do processo do Ollama. O problema se origina do uso do pacote ‘unsafe’ na criação de modelos a partir de arquivos GGUF, permitindo que um arquivo malicioso provoque a leitura de dados sensíveis, como variáveis de ambiente e chaves de API. Além disso, duas falhas não corrigidas no mecanismo de atualização do Ollama para Windows podem permitir a execução de código persistente. Os usuários são aconselhados a aplicar correções, limitar o acesso à rede e implementar um proxy de autenticação. A situação é crítica, pois pode comprometer informações sensíveis de organizações que utilizam o Ollama.

IA decodifica anúncios do Facebook em perfis pessoais detalhados

Um estudo realizado por pesquisadores da UNSW Sydney e da QUT revelou que a inteligência artificial (IA) pode criar perfis pessoais detalhados a partir de padrões de anúncios do Facebook, sem precisar acessar dados pessoais ou históricos de navegação dos usuários. A pesquisa analisou mais de 435 mil anúncios coletados de 891 australianos e demonstrou que a IA consegue inferir características como gênero, idade, educação, emprego, preferências políticas e situação econômica apenas com a exposição a anúncios. O processo é 200 vezes mais barato e 50 vezes mais rápido do que a análise humana. Além disso, mesmo sessões curtas de navegação fornecem dados suficientes para a IA construir perfis precisos. Os pesquisadores alertam que extensões de navegador, como bloqueadores de anúncios, podem ser vetores de ataque, pois requerem permissões para acessar o conteúdo das páginas, o que pode ser explorado para coletar informações sobre os anúncios vistos. A situação é preocupante, pois não há necessidade de hacking, e a plataforma de anúncios não percebe que seu sistema está sendo usado como uma ferramenta de vigilância. Para proteger a privacidade online, é recomendado ter cuidado com as extensões de navegador e ajustar as configurações de privacidade, embora uma VPN não ofereça proteção contra esse tipo de coleta de dados. Os pesquisadores defendem que as leis de privacidade devem evoluir para proteger as inferências feitas a partir do consumo passivo de conteúdo.

Site do JDownloader comprometido para distribuir malware

O site do popular gerenciador de downloads JDownloader foi comprometido entre os dias 6 e 7 de maio de 2026, resultando na distribuição de instaladores maliciosos para Windows e Linux. Os atacantes alteraram os links de download para direcionar os usuários a payloads maliciosos, incluindo um trojan de acesso remoto baseado em Python. O incidente foi inicialmente relatado por um usuário no Reddit, que percebeu que os instaladores estavam sendo sinalizados como software malicioso pelo Microsoft Defender. Os desenvolvedores do JDownloader confirmaram a violação e tomaram o site offline para investigação. A vulnerabilidade explorada permitiu que os atacantes modificassem listas de controle de acesso do site sem autenticação. Apenas os links de download alternativos para Windows e o instalador Linux foram afetados, enquanto outras versões do software permaneceram seguras. Os usuários que baixaram os instaladores comprometidos são aconselhados a reinstalar seus sistemas operacionais e redefinir senhas, pois credenciais podem ter sido comprometidas. O ataque destaca a crescente tendência de hackers visando sites de ferramentas de software populares para disseminar malware.

Repositório malicioso no Hugging Face distribui malware para Windows

Um repositório malicioso no Hugging Face, que se disfarçou como o projeto ‘Privacy Filter’ da OpenAI, foi responsável por distribuir malware que rouba informações de usuários do Windows. O repositório, que chegou a ser o mais baixado na plataforma, acumulou 244.000 downloads antes de ser removido. Pesquisadores da HiddenLayer, uma empresa focada em proteger modelos de IA, descobriram que o repositório continha um arquivo ’loader.py’ que, disfarçado de código inofensivo, desativava a verificação SSL e executava um comando PowerShell para baixar um infostealer. Este malware, desenvolvido em Rust, visava dados sensíveis, como cookies de navegadores, tokens do Discord e credenciais de criptomoedas. A HiddenLayer também observou que a maioria dos usuários que interagiram com o repositório parecia ser contas geradas automaticamente, levantando preocupações sobre a segurança da plataforma. Os usuários que baixaram arquivos do repositório malicioso devem reformatar suas máquinas e alterar todas as credenciais armazenadas.

Novo trojan bancário brasileiro TCLBANKER ataca 59 plataformas

Pesquisadores de segurança cibernética identificaram um novo trojan bancário brasileiro chamado TCLBANKER, que tem a capacidade de atacar 59 plataformas de bancos, fintechs e criptomoedas. O malware, rastreado pelo Elastic Security Labs sob o nome REF3076, é considerado uma atualização significativa da família Maverick, que utiliza um worm chamado SORVEPOTEL para se espalhar via WhatsApp Web. O ataque começa com um instalador MSI malicioso embutido em um arquivo ZIP, que abusa de um programa legítimo da Logitech para contornar a detecção de ferramentas de análise e antivírus. Após a execução, o trojan verifica se está operando em um sistema brasileiro e estabelece persistência através de tarefas agendadas. Além disso, ele se conecta a servidores externos para enviar informações do sistema e pode realizar uma série de ações maliciosas, como capturar telas, manipular o teclado e o mouse, e roubar credenciais através de sobreposições enganosas. O TCLBANKER também se propaga via mensagens de spam no WhatsApp e e-mails falsos enviados pelo Outlook, aproveitando a confiança dos usuários. Essa evolução no ecossistema de trojans bancários no Brasil representa uma ameaça significativa, especialmente devido à sua capacidade de contornar defesas tradicionais.

Criança com bigode falso burlou verificação de idade online

Recentemente, um incidente curioso chamou a atenção para as falhas nos sistemas de verificação de idade online. Uma criança de 12 anos conseguiu enganar as ferramentas de verificação da Meta, pintando um bigode em seu rosto e se passando por um adolescente de 15 anos. Esse caso ilustra as dificuldades que empresas como a Meta enfrentam ao tentar identificar usuários menores de 13 anos, especialmente em plataformas como Instagram e Facebook. A Meta está implementando novas tecnologias de inteligência artificial que analisam imagens e vídeos para detectar ‘dicas visuais’ da idade dos usuários, como características físicas e postagens relacionadas a aniversários. Apesar dessas melhorias, a eficácia dessas ferramentas ainda é questionável, já que muitos menores conseguem contornar as restrições. A Meta anunciou que, caso haja suspeita de que um menor esteja gerenciando uma conta, a conta será suspensa e o usuário terá que passar por um novo processo de verificação de idade. Essas medidas estão sendo implementadas em vários países, incluindo Brasil e na União Europeia, como resposta a preocupações regulatórias sobre a proteção de crianças online.

Mozilla usa IA da Anthropic para corrigir 423 falhas de segurança no Firefox

A Mozilla anunciou que, com o auxílio do modelo de IA Mythos da Anthropic, conseguiu identificar e corrigir 423 falhas de segurança no navegador Firefox em apenas um mês. O Mythos é descrito como um modelo de ’nova fronteira’ que pode revolucionar a cibersegurança, sendo capaz de detectar vulnerabilidades zero-day em sistemas operacionais e navegadores. A eficácia do Mythos se deve a duas inovações principais: a melhoria das ferramentas de IA e um ‘harness’ desenvolvido pela Mozilla, que permite que o modelo analise o código do Firefox sem gerar os ‘falsos positivos’ comuns em ferramentas de fuzzing anteriores. Durante o processo, o Mythos conseguiu identificar vulnerabilidades que estavam presentes por até 20 anos, que normalmente levariam semanas para serem descobertas por métodos tradicionais. No entanto, a Mozilla ressalta que o Mythos não é uma solução mágica e requer supervisão humana para operar em larga escala, evidenciando a importância da colaboração entre tecnologia e expertise humana na cibersegurança.

Grupo RansomHouse ataca repositório da Trellix e vaza dados

O grupo de cibercriminosos RansomHouse reivindicou a invasão do repositório de código-fonte da Trellix, uma empresa internacional de cibersegurança, e divulgou imagens como prova do ataque. A Trellix confirmou a violação em 1º de maio, informando que identificou acesso não autorizado a uma parte de seu repositório de código-fonte e que está colaborando com especialistas forenses para investigar o incidente. Apesar da confirmação do ataque, a empresa afirmou não ter encontrado evidências de que seu código-fonte tenha sido explorado ou que o processo de distribuição tenha sido afetado. O ataque ocorreu em 17 de abril e resultou em criptografia de dados. O RansomHouse, que atua desde 2022, é conhecido por suas operações de extorsão de dados, utilizando ferramentas avançadas de criptografia. Um caso recente notável do grupo envolveu o roubo de 740 mil registros de clientes da gigante de e-commerce japonesa Askul Corporation. A Trellix ainda está investigando o incidente e prometeu compartilhar mais informações assim que estiverem disponíveis.

Por que aumentar a equipe de segurança não fecha a lacuna de alertas

O artigo de Rich Perkins, da Prophet Security, aborda a crescente disparidade entre o investimento em segurança cibernética e a eficácia na resposta a incidentes. Apesar de os gastos em segurança terem dobrado nos últimos seis anos, o tempo para investigar e responder a alertas permanece estagnado. A raiz do problema está na arquitetura do Centro de Operações de Segurança (SOC), que não se adaptou ao volume atual de alertas, resultando em um backlog que compromete a segurança. O texto apresenta um diagnóstico em quatro perguntas que os líderes de segurança devem considerar para avaliar a eficácia de suas operações. Além disso, destaca que simplesmente contratar mais analistas não resolverá a questão, pois a demanda por investigações supera a capacidade humana. Exemplos de empresas que implementaram soluções de inteligência artificial mostram que a mudança no modelo operacional pode resultar em investigações mais rápidas e eficientes, liberando tempo valioso para os analistas. O artigo conclui que a verdadeira solução reside em repensar o modelo de operação do SOC, em vez de apenas aumentar a equipe.

Dados de usuários do GeForce NOW expostos em violação de segurança

A NVIDIA confirmou que informações de usuários do serviço GeForce NOW foram expostas em uma violação de dados, afetando especificamente a Armênia. A empresa esclareceu que a falha ocorreu em uma infraestrutura operada por um parceiro regional, e que sua própria rede não foi comprometida. O incidente, que ocorreu entre 20 e 26 de março, resultou na exposição de dados como nomes completos, endereços de e-mail, nomes de usuário, datas de nascimento e status de autenticação de dois fatores. O operador regional GFN.am informou que nenhuma senha de conta foi exposta e que usuários que se registraram após 9 de março não foram afetados. Um ator de ameaças, conhecido como ShinyHunters, alegou ter acessado o serviço e ofereceu a base de dados roubada por US$ 100.000 em criptomoedas. Embora a violação tenha sido limitada à Armênia, a NVIDIA está colaborando com o parceiro para investigar e resolver a situação. Não há confirmação de impacto em outros países onde o GFN.am opera, como Azerbaijão e Ucrânia.

Malware Quasar Linux RAT ameaça sistemas de desenvolvedores

Um novo malware, denominado Quasar Linux RAT (QLNX), foi descoberto visando sistemas de desenvolvedores e ambientes DevOps. Este implante, que opera de forma silenciosa, é capaz de realizar uma série de atividades maliciosas, incluindo o roubo de credenciais, keylogging, manipulação de arquivos e monitoramento de clipboard. Segundo pesquisadores da Trend Micro, o QLNX extrai informações sensíveis de arquivos críticos, como .npmrc e .git-credentials, permitindo que atacantes comprometam pipelines de publicação de software e acessem infraestruturas em nuvem.

Fraude em aplicativos do Google Play engana usuários com dados falsos

Pesquisadores de cibersegurança descobriram 28 aplicativos fraudulentos na Google Play Store que prometiam acesso a históricos de chamadas de qualquer número, mas apenas enganavam os usuários para que se inscrevessem em serviços que forneciam dados falsos. Esses aplicativos, que acumulam mais de 7,3 milhões de downloads, foram identificados pela empresa ESET e visavam principalmente usuários na Índia e na região Ásia-Pacífico. Os aplicativos solicitavam pagamento para desbloquear funcionalidades que, na verdade, não existiam, entregando apenas dados aleatórios gerados. Um dos aplicativos foi publicado sob o nome de um desenvolvedor que imitava uma entidade governamental, aumentando a confiança do usuário. Os pagamentos eram realizados através do sistema oficial da Google Play ou de aplicativos de pagamento de terceiros, como Google Pay e Paytm. Embora os aplicativos tenham sido removidos, usuários que pagaram por assinaturas podem ter direito a reembolsos, mas aqueles que usaram métodos de pagamento de terceiros podem não ter essa opção. Este incidente destaca a vulnerabilidade de plataformas populares a fraudes e a importância de uma vigilância constante por parte dos usuários e das autoridades de segurança.

Nova vulnerabilidade zero-day no Linux permite escalonamento de privilégios

Uma nova vulnerabilidade zero-day no Linux, chamada Dirty Frag, foi descoberta, permitindo que atacantes locais obtenham privilégios de root em diversas distribuições Linux com um único comando. O pesquisador de segurança Hyunwoo Kim revelou a falha, que foi introduzida há cerca de nove anos na interface algif_aead do kernel Linux. A Dirty Frag explora duas vulnerabilidades do kernel: a vulnerabilidade de gravação em cache de página xfrm-ESP e a vulnerabilidade de gravação em cache de página RxRPC, permitindo a modificação de arquivos do sistema protegidos na memória sem autorização. Essa falha é semelhante às vulnerabilidades Dirty Pipe e Copy Fail, mas utiliza um campo de fragmento de uma estrutura de dados diferente do kernel. Kim destacou que, ao contrário de outras vulnerabilidades, a Dirty Frag não depende de condições de corrida, o que aumenta sua taxa de sucesso. Até o momento, a vulnerabilidade não possui um ID CVE e afeta várias distribuições populares, como Ubuntu, Red Hat, CentOS e Fedora, que ainda não receberam patches. Para mitigar os riscos, os usuários do Linux podem desativar os módulos do kernel vulneráveis, embora isso possa quebrar VPNs IPsec e sistemas de arquivos distribuídos AFS. A descoberta ocorre em um momento em que as distribuições Linux ainda estão implementando correções para a vulnerabilidade Copy Fail, que também permite escalonamento de privilégios de root.

Homem é condenado por destruir bancos de dados do governo dos EUA

Um homem de 34 anos da Virgínia foi condenado por conspirar para destruir dezenas de bancos de dados do governo após ser demitido de seu trabalho como contratado federal. Sohaib Akhter e seu irmão gêmeo, Muneeb Akhter, já haviam sido condenados em 2016 por acessar sistemas do Departamento de Estado dos EUA sem autorização e roubar informações pessoais de colegas e de um agente da lei. Após cumprirem suas penas, os irmãos foram recontratados, mas foram demitidos em fevereiro de 2025 ao serem descobertos. Após a demissão, eles tentaram prejudicar a empresa acessando computadores sem autorização, escrevendo proteção em bancos de dados e deletando informações. Em um ataque coordenado, eles apagaram cerca de 96 bancos de dados do governo, incluindo documentos sensíveis de várias agências federais. Além disso, tentaram ocultar suas atividades criminosas, limpando seus laptops e discutindo como evitar a detecção. Sohaib Akhter enfrenta uma pena máxima de 21 anos, enquanto Muneeb pode ser condenado a até 45 anos por múltiplas acusações, incluindo roubo de informações do governo e fraude computacional.

Hackers acessam dados de 197 mil clientes da Zara

Um ataque cibernético à Zara, varejista espanhola de moda rápida, resultou no roubo de dados de mais de 197 mil clientes, conforme relatado pelo serviço de notificação de vazamentos Have I Been Pwned. A Inditex, grupo proprietário da Zara, confirmou que as informações comprometidas estavam em bancos de dados de um fornecedor de tecnologia anterior e incluíam e-mails únicos, localizações geográficas, compras e tickets de suporte, mas não continham nomes, números de telefone, endereços ou informações de pagamento. O grupo de cibercrime ShinyHunters reivindicou a responsabilidade pelo ataque e divulgou um arquivo de 140GB com documentos supostamente roubados. A Inditex acionou seus protocolos de segurança e notificou as autoridades competentes sobre o incidente. Embora a empresa tenha afirmado que suas operações não foram afetadas, a falta de detalhes sobre o fornecedor hackeado e a atribuição do ataque a um ator específico ainda gera preocupações. Este incidente destaca a vulnerabilidade de empresas que dependem de fornecedores externos e a crescente ameaça de grupos de extorsão cibernética.

Nova vulnerabilidade Dirty Frag afeta o kernel Linux

Uma nova vulnerabilidade de escalonamento de privilégios local (LPE) chamada Dirty Frag foi identificada no kernel Linux, afetando diversas distribuições populares, como Ubuntu, RHEL e Fedora. Essa falha, que ainda não possui um identificador CVE, permite que usuários não privilegiados obtenham acesso root ao explorar duas vulnerabilidades existentes: xfrm-ESP Page-Cache Write e RxRPC Page-Cache Write. A primeira foi introduzida em 2017 e a segunda em 2023, e juntas formam uma cadeia que pode ser explorada em diferentes ambientes. A vulnerabilidade é considerada de alta gravidade, com um CVSS score de 7.8, e sua exploração não depende de condições de corrida, o que aumenta a taxa de sucesso do ataque. A urgência é acentuada pela divulgação de um proof-of-concept (PoC) que permite a exploração em um único comando. Enquanto os patches não estão disponíveis, recomenda-se bloquear os módulos esp4, esp6 e rxrpc para mitigar o risco. A Dirty Frag representa uma ameaça significativa, pois pode ser explorada independentemente da ativação do módulo algif_aead, que é uma mitigação conhecida para outra vulnerabilidade, Copy Fail.

Novo backdoor Linux PamDOORa é descoberto em fórum de cibercrime

Pesquisadores de cibersegurança revelaram detalhes sobre um novo backdoor para Linux, chamado PamDOORa, que está sendo comercializado por $1.600 em um fórum de cibercrime russo. Desenvolvido por um ator de ameaças conhecido como ‘darkworm’, o PamDOORa é um módulo de autenticação pluggable (PAM) que permite acesso SSH persistente a sistemas comprometidos. O backdoor utiliza uma combinação de senha mágica e porta TCP específica para garantir o acesso contínuo, além de ser capaz de coletar credenciais de usuários legítimos que se autenticam no sistema afetado.

O lado oculto da segurança cibernética nas empresas

Um recente relatório revela que as operações de segurança cibernética em empresas têm ignorado sistematicamente alertas de baixa severidade, resultando em brechas significativas. A análise de mais de 25 milhões de alertas mostrou que quase 1% dos incidentes confirmados vieram de alertas inicialmente classificados como informativos ou de baixa severidade. Isso se traduz em cerca de 54 ameaças reais por ano que não são investigadas, o que representa um ataque a cada semana. Além disso, a pesquisa destacou que ferramentas de Detecção e Resposta de Endpoint (EDR) frequentemente marcam máquinas como ‘mitigadas’ mesmo quando estão comprometidas, evidenciando a falha na confiança em tais sistemas. O relatório também aponta uma mudança nas táticas de phishing, onde menos de 6% dos e-mails maliciosos continham anexos, utilizando links e plataformas confiáveis como PayPal para enganar os usuários. A análise sugere que a falta de investigação de alertas de baixa severidade impede a melhoria contínua dos sistemas de detecção, criando um ciclo vicioso de vulnerabilidades não abordadas. Para mitigar esses riscos, é essencial que as empresas adotem uma abordagem de investigação abrangente, analisando todos os alertas, independentemente da severidade.

Daemon Tools foi hackeado e espalhou malware saiba se você foi afetado

A Disc Soft Limited, desenvolvedora do Daemon Tools Lite, confirmou que seus sistemas foram invadidos, resultando na transformação de uma versão do aplicativo em um trojan. O ataque foi realizado por meio de exploração da cadeia de suprimento, afetando especificamente as versões 12.5.0.2421 a 12.5.0.2434. Após a identificação do problema, a empresa conseguiu remover o malware em 12 horas e lançou a versão 12.6, que está livre de ameaças. A Kaspersky relatou que o malware, classificado como infostealer, comprometeu usuários em mais de 100 países, incluindo o Brasil, e é capaz de roubar informações do sistema e executar comandos maliciosos. A Disc Soft reforçou sua infraestrutura, mas ainda não identificou os responsáveis pelo ataque. Usuários que instalaram a versão afetada devem desinstalar o aplicativo, realizar uma varredura em seus sistemas e instalar a versão mais recente a partir do site oficial.

ACSC alerta sobre campanha de malware utilizando ClickFix na Austrália

O Australian Cyber Security Center (ACSC) emitiu um alerta sobre uma campanha de malware em andamento que utiliza a técnica de engenharia social conhecida como ClickFix para disseminar o malware Vidar Stealer. Essa técnica engana os usuários a executar comandos maliciosos, frequentemente por meio de prompts falsos de CAPTCHA ou verificação de navegador em sites comprometidos. Os ataques têm como alvo organizações australianas, redirecionando usuários de sites WordPress comprometidos para comandos PowerShell maliciosos que resultam em infecções por Vidar Stealer. Este malware, que surgiu em 2018, é conhecido por roubar informações sensíveis, como senhas de navegadores, cookies e dados de carteiras de criptomoedas. O ACSC recomenda que as organizações restrinjam a execução do PowerShell e implementem listas de permissão de aplicativos para mitigar os riscos. Além disso, administradores de sites WordPress devem aplicar atualizações de segurança e remover temas ou plugins não utilizados. O alerta também fornece indicadores de comprometimento (IoCs) para ajudar na detecção de intrusões.

Novo malware PCPJack rouba credenciais de infraestrutura em nuvem

Um novo framework de malware chamado PCPJack está em operação, focando no roubo de credenciais de infraestrutura em nuvem exposta e na remoção do acesso do grupo TeamPCP aos sistemas comprometidos. Os serviços visados incluem Docker, Kubernetes, Redis, MongoDB e aplicações web vulneráveis. Pesquisadores da SentinelLabs indicam que o PCPJack é projetado para roubo de credenciais em larga escala, possivelmente monetizando suas atividades através de fraudes financeiras, operações de spam, revenda de credenciais ou extorsão.

Novo trojan TCLBanker ataca plataformas financeiras no Brasil

O TCLBanker é um novo trojan que visa 59 plataformas de bancos, fintechs e criptomoedas, utilizando um instalador MSI trojanizado do Logitech AI Prompt Builder para infectar sistemas. Descoberto pelos Elastic Security Labs, o malware é uma evolução significativa da família de malwares Maverick/Sorvepotel. Embora atualmente esteja focado no Brasil, suas características de propagação e a possibilidade de expansão para outros países da América Latina são preocupantes.

O TCLBanker se destaca por suas capacidades de proteção contra análise, utilizando rotinas de descriptografia dependentes do ambiente e um thread de vigilância que busca ferramentas de análise. Ele se carrega no contexto de um aplicativo legítimo, evitando alarmes de segurança. O módulo bancário monitora a barra de endereços do navegador e, ao detectar um site alvo, estabelece uma sessão com o comando e controle (C2), permitindo controle remoto sobre o sistema da vítima.

Gangue de extorsão ShinyHunters ataca gigante da educação Instructure

A gangue de extorsão ShinyHunters comprometeu novamente a Instructure, empresa de tecnologia educacional, explorando uma vulnerabilidade para alterar os portais de login do Canvas de centenas de instituições de ensino. As defacements, que ficaram visíveis por cerca de 30 minutos, continham uma mensagem da gangue reivindicando a responsabilidade pela violação anterior e ameaçando vazar dados roubados caso um resgate não fosse pago. A mensagem estipula um prazo até 12 de maio para que a Instructure e as instituições afetadas entrem em contato para negociar. A Instructure confirmou que dados de aproximadamente 280 milhões de registros de estudantes e funcionários foram roubados, abrangendo 8.809 escolas e universidades. A empresa está investigando o incidente e tomou medidas para desativar temporariamente o Canvas enquanto responde ao ataque. A vulnerabilidade que permitiu a alteração dos portais de login foi identificada, e a Instructure está trabalhando para mitigar os danos. Este ataque destaca a crescente ameaça de grupos de cibercrime que visam instituições educacionais, que frequentemente lidam com grandes volumes de dados sensíveis.

Novo framework PCPJack ameaça infraestrutura em nuvem

Pesquisadores de cibersegurança revelaram um novo framework de roubo de credenciais chamado PCPJack, que visa infraestruturas em nuvem expostas e elimina artefatos associados ao grupo TeamPCP. O PCPJack coleta credenciais de serviços em nuvem, contêineres e aplicações vulneráveis, exfiltrando dados através de uma infraestrutura controlada pelos atacantes e se espalhando de forma semelhante a um worm. O objetivo final da campanha é gerar receita ilícita por meio de roubo de credenciais, fraudes e extorsão. O PCPJack se destaca por não incluir componentes de mineração de criptomoedas, diferentemente do TeamPCP, sugerindo que pode ser obra de um ex-membro familiarizado com as táticas do grupo. O ataque começa com um script de shell que prepara o ambiente e baixa ferramentas adicionais, enquanto remove processos associados ao TeamPCP. O framework utiliza seis scripts Python para orquestrar o ataque, extrair credenciais e facilitar a movimentação lateral em serviços como Docker e Kubernetes. A análise indica que o PCPJack é uma ameaça significativa, especialmente para empresas que utilizam serviços em nuvem amplamente utilizados no Brasil.

Ivanti alerta sobre vulnerabilidade crítica no Endpoint Manager Mobile

A Ivanti emitiu um alerta sobre uma nova vulnerabilidade de alta severidade, identificada como CVE-2026-6973, que afeta o Endpoint Manager Mobile (EPMM) em versões anteriores a 12.6.1.1, 12.7.0.1 e 12.8.0.1. Essa falha, que possui um score CVSS de 7.2, permite que um usuário autenticado com acesso administrativo execute código remotamente. A empresa informou que, até o momento, há um número muito limitado de clientes que foram explorados devido a essa vulnerabilidade. A exploração bem-sucedida requer autenticação de administrador, e a Ivanti recomenda que os clientes que seguiram suas orientações anteriores sobre a rotação de credenciais estão em menor risco. Além da CVE-2026-6973, a Ivanti também corrigiu outras quatro vulnerabilidades no EPMM, com scores CVSS variando de 7.0 a 8.9, que incluem problemas de controle de acesso e validação de certificados. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou essa falha ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas, exigindo que as agências federais apliquem as correções até 10 de maio de 2026. A Ivanti esclareceu que as falhas afetam apenas o produto EPMM on-premises e não impactam suas soluções baseadas em nuvem.

Ferramenta de edição de imagem gratuita pode ser malware perigoso

Pesquisadores de cibersegurança alertam sobre um site que promete remover fundos de selfies, mas que na verdade distribui malware. Através de técnicas de SEO, o site malicioso aparece entre os primeiros resultados de busca, enganando usuários que buscam ferramentas legítimas. Ao tentar usar o serviço, os usuários são instruídos a executar um comando no Windows, o que resulta na instalação do CastleLoader, um loader que permite a instalação de outros malwares, como o NetSupport RAT e o CastleStealer. O NetSupport RAT é um trojan de acesso remoto que concede controle total ao atacante, enquanto o CastleStealer é um malware que visa roubar credenciais de navegadores, dados de carteiras de criptomoedas e tokens de aplicativos como Discord e Telegram. A campanha destaca a importância da educação em cibersegurança, pois serviços legítimos não pedem que os usuários realizem atividades locais para verificar sua identidade. Para mitigar esses ataques, recomenda-se que administradores desativem o atalho Win + R e que os usuários estejam cientes dos riscos associados a downloads de ferramentas desconhecidas.

Do phishing ao impacto Por que MSPs devem repensar segurança e recuperação

Os ciberataques estão evoluindo rapidamente, superando as defesas de muitos provedores de serviços gerenciados (MSPs). O phishing se tornou o principal motor do cibercrime moderno, com ataques cada vez mais sofisticados, utilizando iscas geradas por inteligência artificial e plataformas SaaS legítimas para contornar as defesas tradicionais. Em um webinar agendado para 14 de maio de 2026, especialistas da Kaseya discutirão como a combinação de prevenção, detecção e recuperação rápida é essencial para enfrentar essas ameaças. O evento abordará a importância de não tratar segurança e recuperação como silos separados, destacando que muitas organizações falham em planejar a recuperação após um ataque, resultando em interrupções operacionais e perda de dados. O webinar também enfatizará a necessidade de um plano de recuperação de desastres (BCDR) e backups adequados para fortalecer a resiliência cibernética. Os participantes aprenderão como os MSPs líderes estão adaptando suas estratégias para reduzir o tempo de inatividade e melhorar a recuperação após ataques, tornando-se crucial para a proteção de seus clientes.

Homem é condenado a 78 meses por roubo e lavagem de criptomoedas

Um homem de 20 anos da Califórnia, Marlon Ferro, foi condenado a 78 meses de prisão por seu papel em um esquema criminoso que roubou mais de 250 milhões de dólares em criptomoedas. Ferro, conhecido online como GothFerrari, foi preso em maio de 2025, portando armas e documentos falsos. Ele se declarou culpado em outubro e foi condenado a pagar 2,5 milhões de dólares em restituição, além de três anos de liberdade supervisionada. O grupo criminoso, ativo entre 2023 e 2025, utilizou engenharia social para enganar vítimas e obter acesso a carteiras digitais. Quando as vítimas armazenavam fundos em carteiras de hardware, Ferro realizava invasões residenciais para roubar esses dispositivos. Em um caso, ele roubou uma carteira contendo cerca de 100 Bitcoins, avaliados em mais de 5 milhões de dólares na época. O esquema envolveu também a lavagem de dinheiro por meio de exchanges de criptomoedas e a compra de bens de luxo. Além de Ferro, outros membros do grupo também foram condenados, totalizando 14 suspeitos envolvidos em uma conspiração de RICO, que resultou em perdas significativas para as vítimas. O caso destaca a combinação de fraudes online sofisticadas com métodos tradicionais de roubo, evidenciando a necessidade de vigilância e proteção contra tais ameaças.

Nacionais dos EUA são condenados por fraudes com trabalhadores de TI da Coreia do Norte

Dois cidadãos americanos, Matthew Isaac Knoot e Erick Ntekereze Prince, foram condenados a 18 meses de prisão por operar ‘fazendas de laptops’ que ajudaram trabalhadores de TI da Coreia do Norte a obter empregos remotos fraudulentos em quase 70 empresas americanas. Knoot, que atuou de julho de 2022 a agosto de 2023, usou identidades roubadas para receber laptops de empresas e instalou softwares de acesso remoto, permitindo que os trabalhadores norte-coreanos se passassem por funcionários legítimos. As empresas afetadas pagaram mais de $250.000 a esses trabalhadores. Prince, por sua vez, facilitou a contratação de pelo menos três trabalhadores de TI da Coreia do Norte entre junho de 2020 e agosto de 2024, resultando em pagamentos superiores a $943.000, a maior parte dos quais foi enviada para o exterior. Além das penas de prisão, Knoot foi condenado a pagar $15.100 em restituição, enquanto Prince teve que devolver $89.000. O FBI alerta que a Coreia do Norte mantém uma grande força de trabalhadores de TI que utilizam roubo de identidade para se infiltrar em empresas americanas, representando uma ameaça crescente à segurança cibernética.

Cibersegurança em 2026 Velhos problemas e novas ameaças

Em 2026, as ameaças cibernéticas continuam a ser alimentadas por práticas antigas, como pacotes suspeitos, aplicativos falsos e anúncios fraudulentos. Um novo malware, chamado MicroStealer, tem como alvo os setores de educação e telecomunicações, roubando dados sensíveis através de uma cadeia de entrega sofisticada. Além disso, a FTC e a Kochava chegaram a um acordo para proteger dados de localização, enquanto a Proton Mail introduziu suporte para criptografia pós-quântica, visando aumentar a segurança das comunicações. O lançamento do pnpm 11 trouxe novas medidas de segurança para proteger contra ataques à cadeia de suprimentos, estabelecendo um período de espera para a instalação de pacotes recém-publicados. A Meta anunciou o uso de inteligência artificial para reforçar a verificação de idade em suas plataformas, e um tribunal sul-coreano manteve a pena de prisão para um homem que contratou um hacker norte-coreano para atacar servidores de jogos. Vulnerabilidades críticas também foram identificadas em sistemas industriais e na plataforma MOVEit Automation, exigindo atenção imediata. O cenário atual destaca a necessidade urgente de uma resposta proativa das organizações para mitigar esses riscos.

Vulnerabilidade crítica no PAN-OS da Palo Alto Networks

A Palo Alto Networks revelou que atores de ameaças tentaram explorar uma vulnerabilidade crítica, identificada como CVE-2026-0300, no serviço User-ID Authentication Portal do software PAN-OS. Essa falha, com uma pontuação CVSS de 9.3/8.7, permite que um atacante não autenticado execute código arbitrário com privilégios de root ao enviar pacotes especialmente elaborados. Embora as correções estejam previstas para serem lançadas em 13 de maio de 2026, a empresa recomenda que os clientes restrinjam o acesso ao portal ou o desativem caso não esteja em uso. A Palo Alto Networks também observou tentativas de exploração limitadas desde 9 de abril de 2026, e um grupo de ameaças, identificado como CL-STA-1132, está sendo investigado por sua possível ligação com atividades de espionagem cibernética patrocinadas por estados. Os atacantes conseguiram injetar shellcode em um processo do nginx e realizar atividades pós-exploração, como enumeração do Active Directory e a instalação de malwares adicionais. A dependência de ferramentas de código aberto pelos atacantes dificultou a detecção baseada em assinaturas, permitindo que suas atividades permanecessem abaixo dos limiares de alerta da maioria dos sistemas automatizados.

A parte mais difícil da cibersegurança não é a tecnologia, mas as pessoas

O artigo destaca que a maior parte das violações de segurança começa com um único funcionário que clica em um e-mail malicioso, conhecido como ‘Patient Zero’. Em 2026, os hackers estão utilizando inteligência artificial para criar ataques de phishing que são quase impossíveis de detectar. O conceito de ‘Patient Zero’ se refere ao primeiro dispositivo comprometido por um atacante, que rapidamente se espalha pela rede em busca de dados sensíveis. O texto enfatiza a importância de ter um plano de resposta a incidentes, especialmente nos primeiros minutos após a infecção, que são cruciais para evitar danos maiores. O webinar proposto oferece um aprofundamento técnico sobre como as violações modernas se iniciam e como neutralizá-las rapidamente, abordando temas como o uso de IA em ataques, a janela crítica de cinco minutos após a infecção e a implementação do modelo de segurança ‘Zero Trust’. A proposta é preparar as empresas para que, mesmo diante de um clique em um link malicioso, a situação não resulte em perdas financeiras significativas.

O perigo da biometria que quase ninguém percebe

O uso de biometria, como reconhecimento facial e leitura de digitais, se tornou comum no Brasil, mas poucos percebem os riscos associados. Diferente de senhas, dados biométricos não podem ser alterados se vazarem, o que os torna extremamente sensíveis. Especialistas alertam que a combinação de biometria com inteligência artificial e deepfakes pode facilitar fraudes financeiras e roubo de identidade. Marta Schuh, diretora de Cyber & Tech Insurance da Howden Brasil, destaca que a popularização da biometria ocorreu mais rapidamente do que a conscientização sobre seus riscos. Embora a biometria possa trazer benefícios em contextos como hospitais, sua adoção indiscriminada por empresas pode aumentar a exposição dos usuários sem garantir segurança real. A Lei Geral de Proteção de Dados (LGPD) classifica dados biométricos como sensíveis, permitindo que usuários se recusem a fornecê-los em certas situações. A segurança digital, segundo Marta, depende não apenas de tecnologia, mas também da conscientização dos usuários, sendo crucial que as empresas tratem a segurança cibernética como parte estratégica de seus negócios.

Um número alarmante de trabalhadores venderia dados da empresa por dinheiro

Um estudo recente da Cifas revelou que cerca de 18% dos trabalhadores admitiram ter vendido credenciais de login de suas empresas por dinheiro, evidenciando um comportamento preocupante em relação à segurança cibernética. Além disso, 24% dos entrevistados consideram aceitável trabalhar secretamente para concorrentes, enquanto 13% conhecem alguém que usou fundos da empresa para apostas. Esses dados indicam que a fraude no ambiente de trabalho está se tornando uma prática normalizada, o que representa um risco significativo para a segurança das informações corporativas. O CEO da Cifas, Mike Haley, destacou que esses achados refletem uma mudança mais ampla nas atitudes dos funcionários diante da oportunidade de cometer fraudes. Para mitigar esses riscos, a empresa sugere que as organizações implementem monitoramento de ameaças internas, verificação de identidade mais rigorosa e checagens de antecedentes mais robustas, além de oferecer treinamento adequado aos funcionários para reconhecer e desafiar comportamentos de risco.

Cadeia de fornecimento de senhas vazadas um olhar sobre o cibercrime

Um estudo da Comparitech analisou mais de 447 mil vazamentos de dados em quatro fóruns de cibercrime, revelando uma cadeia de fornecimento em cinco etapas para senhas vazadas. As etapas incluem a origem, onde as senhas são comprometidas, o atacado, onde o acesso é negociado, e o comércio, onde dados são trocados e vendidos. Os resultados mostraram que dados gratuitos são mais comuns do que pagos, e que administradores de fóruns frequentemente atuam como fornecedores principais. O fórum RAMP, por exemplo, destacou-se por vender acesso a redes corporativas, enquanto o BreachForums, mesmo após a prisão de seu administrador, continuou a crescer rapidamente. A pesquisa também revelou que vazamentos de dados de empresas indonésias e chinesas atraíram mais visualizações do que grandes empresas ocidentais. A análise sugere que, apesar de ações de remoção de fóruns, a recuperação é rápida, com novos usuários se inscrevendo em massa. O estudo destaca a importância de entender como as credenciais são utilizadas em campanhas de ataque, como o credential stuffing e o ransomware.

Versão falsa do site Claude AI distribui malware Beagle

Uma versão falsa do site Claude AI está oferecendo um download malicioso chamado Claude-Pro Relay, que instala uma backdoor para Windows chamada Beagle. O site fraudulento imita o design do site legítimo, mas falha em fornecer links funcionais, redirecionando os usuários para a página inicial. Ao clicar no botão de download, os usuários obtêm um arquivo comprimido de 505MB que contém um instalador MSI. A instalação adiciona arquivos ao diretório de inicialização do sistema, permitindo que os atacantes mantenham acesso remoto. A pesquisa da Sophos revelou que o instalador é uma cópia trojanizada que, embora funcione como esperado, implanta uma cadeia de malware PlugX em segundo plano. O Beagle, uma backdoor com comandos limitados, é carregado através do DonutLoader, que é um injetor em memória. A comunicação da backdoor ocorre com um servidor de comando e controle, utilizando criptografia AES para proteger as trocas. A Sophos sugere que os usuários devem garantir que estão baixando o Claude apenas do portal oficial e que a presença de arquivos ‘NOVupdate’ é um forte indicativo de comprometimento.

Palo Alto Networks alerta sobre vulnerabilidade crítica em firewalls

A Palo Alto Networks alertou seus clientes sobre a exploração de uma vulnerabilidade crítica em seus firewalls PAN-OS, identificada como CVE-2026-0300. Essa falha de execução remota de código foi descoberta no Portal de Autenticação User-ID do PAN-OS e permite que atacantes não autenticados executem código arbitrário com privilégios de root em firewalls PA-Series e VM-Series expostos à Internet. Desde 9 de abril de 2026, foram registradas tentativas de exploração, culminando em um ataque bem-sucedido uma semana depois, onde os invasores conseguiram injetar shellcode e realizar limpeza de logs para evitar detecções. Os atacantes utilizaram ferramentas de tunelamento como Earthworm e ReverseSocks5 para estabelecer comunicação clandestina. A Palo Alto Networks informou que está trabalhando em patches, com a expectativa de que as primeiras correções sejam disponibilizadas em 13 de maio. Enquanto isso, a empresa recomenda que os clientes restrinjam o acesso ao Portal de Autenticação ou o desativem, se necessário. A CISA dos EUA também incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades exploradas conhecidas, exigindo que agências federais tomem medidas imediatas para proteger seus dispositivos vulneráveis.

Pacotes maliciosos no PyPI entregam nova família de malware ZiChatBot

Pesquisadores de cibersegurança identificaram três pacotes no repositório Python Package Index (PyPI) que têm como objetivo oculto a entrega de uma nova família de malware chamada ZiChatBot, afetando sistemas Windows e Linux. Segundo a Kaspersky, embora os pacotes ‘uuid32-utils’, ‘colorinal’ e ’termncolor’ apresentem funcionalidades legítimas, sua verdadeira intenção é disseminar arquivos maliciosos. O malware ZiChatBot se diferencia por não se comunicar com um servidor de comando e controle (C2) tradicional, utilizando em vez disso APIs REST do aplicativo de chat Zulip. Os pacotes foram carregados entre 16 e 22 de julho de 2025, e, ao serem instalados, extraem um dropper DLL no Windows e um dropper de objeto compartilhado no Linux, que se auto-exclui após a execução. A Kaspersky sugere que a campanha pode estar ligada ao grupo de hackers OceanLotus, que já foi observado utilizando métodos semelhantes para comprometer a comunidade de cibersegurança na China. Essa nova abordagem de ataque representa uma evolução nas táticas do grupo, que busca ampliar seu escopo de alvos.

Malware para Android usa ícones em branco e telas falsas para roubar credenciais financeiras

Pesquisadores da Zimperium identificaram quatro campanhas de trojans bancários para Android, denominadas RecruitRat, SaferRat, Astrinox e Massiv, que visam mais de 800 aplicativos financeiros e de redes sociais. Esses malwares utilizam técnicas de engano e furtividade, como ocultar ícones de aplicativos e sobrepor telas falsas de login, para roubar credenciais financeiras dos usuários. Os atacantes direcionam as vítimas a sites falsos que imitam portais de emprego ou serviços de streaming, levando-as a instalar software malicioso. Uma vez instalado, o malware solicita permissões de acessibilidade, permitindo monitorar ações e capturar informações sem o conhecimento do usuário. Além disso, algumas variantes conseguem se esconder completamente, dificultando a remoção. Os ataques também incluem a transmissão ao vivo da tela do dispositivo para os servidores dos atacantes, permitindo a interceptação em tempo real das etapas de autenticação. A complexidade das técnicas de instalação e a evolução dos métodos de evasão tornam a detecção por ferramentas de segurança tradicionais cada vez mais difícil.

15.500 domínios maliciosos usam rastreadores para fraudes de investimento em IA

Um estudo realizado pela Infoblox e Confiant revelou a existência de aproximadamente 15.500 domínios maliciosos que utilizam técnicas de cloaking para promover fraudes de investimento relacionadas a inteligência artificial (IA) na internet. Essas fraudes se aproveitam de softwares de rastreamento comercial para escalar operações sem a necessidade de construir uma infraestrutura própria. O cloaking permite que o conteúdo prejudicial seja exibido apenas para vítimas específicas, enquanto páginas benignas são mostradas a scanners de segurança. Os golpistas frequentemente promovem plataformas de negociação automatizadas, utilizando termos como ‘Tecnologia de Negociação Inteligente’ e ‘Soluções de Negociação Inteligente’, e recorrem a imagens geradas por deepfake para aumentar a credibilidade das ofertas. Apesar dos esforços de pesquisadores para desativar esses domínios, as operações continuam ativas, com os golpistas rotacionando domínios e reutilizando a mesma infraestrutura. A dificuldade em detectar essas fraudes se deve ao fato de que o conteúdo malicioso só é revelado sob condições específicas, o que torna os sistemas de proteção tradicionais ineficazes.