Cibersegurança

A NordVPN lançou uma oferta exclusiva para leitores da TechRadar, válida por uma semana, que promete aumentar a segurança dos dados durante o feriado de primavera. A promoção, que começa em 23 de março, oferece até US$ 50 em cartões-presente da Amazon e 4 meses adicionais de cobertura ao adquirir planos de 2 anos. A NordVPN é reconhecida como a melhor VPN do mercado, com um preço mensal a partir de apenas US$ 2,91, o mais baixo desde a Black Friday. Além disso, a empresa tem aprimorado sua experiência móvel, expandindo o recurso de Proteção de Chamadas na Europa e introduzindo um layout de aplicativo mais limpo. O plano NordVPN Plus é recomendado, pois inclui recursos como gerenciamento de senhas com o NordPass, proteção contra ameaças e alertas de vazamento de dados. A promoção termina às 23h59 do dia 28 de março, e é uma oportunidade para quem busca segurança online a um preço acessível.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA corrigissem três vulnerabilidades do iOS, que estão sendo exploradas em ataques de roubo de criptomoedas e ciberespionagem, utilizando o kit de exploração DarkSword. Pesquisadores do Google e da iVerify identificaram uma cadeia de seis vulnerabilidades, incluindo CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520, que permitem a execução remota de código em iPhones não corrigidos. Embora a Apple já tenha lançado patches para essas falhas, dispositivos rodando iOS entre as versões 18.4 e 18.7 ainda estão vulneráveis. O DarkSword está associado a grupos de ameaças, como UNC6748 e UNC6353, que realizam ataques direcionados a usuários de iPhone em sites comprometidos. A CISA alertou que essas vulnerabilidades representam riscos significativos e recomendou que todas as organizações, incluindo as do setor privado, priorizem a segurança de seus dispositivos. O alerta destaca a necessidade de ações imediatas para mitigar os riscos associados a essas falhas.

O FBI dos EUA emitiu um alerta sobre hackers iranianos associados ao Ministério da Inteligência e Segurança do Irã, que estão utilizando o Telegram como infraestrutura de comando e controle em ataques de malware. Esses ataques visam jornalistas críticos ao governo iraniano, dissidentes e grupos opositores em todo o mundo. O FBI relacionou essas atividades ao grupo hacktivista Handala e ao grupo de ameaças Homeland Justice, ambos apoiados pelo estado iraniano. Os hackers empregam engenharia social para infectar dispositivos com malware para Windows, permitindo a exfiltração de capturas de tela e arquivos de computadores comprometidos. O alerta foi emitido em um contexto de tensão geopolítica no Oriente Médio e destaca a necessidade de conscientização sobre as atividades cibernéticas maliciosas iranianas. O FBI também confiscou quatro domínios utilizados por esses grupos para vazar documentos sensíveis. Além disso, o FBI advertiu sobre campanhas de phishing direcionadas a usuários do Signal e WhatsApp por atores ligados à inteligência russa, que já comprometeram milhares de contas. Essas ameaças ressaltam a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância contínua.

Uma grave vulnerabilidade de segurança, identificada como CVE-2025-32975, está sendo explorada por atores maliciosos em sistemas Quest KACE Systems Management Appliance (SMA) não atualizados. Com uma pontuação CVSS de 10.0, essa falha permite que atacantes contornem a autenticação e se façam passar por usuários legítimos, possibilitando a tomada de controle total de contas administrativas. A atividade maliciosa foi detectada pela Arctic Wolf, que observou tentativas de exploração a partir da semana de 9 de março de 2026, em ambientes de clientes expostos à internet. Os atacantes utilizam a vulnerabilidade para executar comandos remotos e implantar cargas úteis codificadas em Base64 a partir de um servidor externo. Além disso, foram identificadas modificações no Registro do Windows e a criação de contas administrativas adicionais. Para mitigar essa ameaça, é crucial que os administradores apliquem as atualizações mais recentes e evitem expor instâncias do SMA à internet. A falha foi corrigida em versões específicas do software lançadas em maio de 2025.

Pesquisadores de cibersegurança descobriram artefatos maliciosos distribuídos via Docker Hub após um ataque à cadeia de suprimentos do Trivy, um popular scanner de vulnerabilidades de código aberto mantido pela Aqua Security. As versões comprometidas 0.69.4, 0.69.5 e 0.69.6 foram removidas do repositório, sendo que a última versão limpa conhecida é a 0.69.3. O ataque permitiu que os invasores utilizassem credenciais comprometidas para inserir um ladrão de credenciais em versões trojanizadas do Trivy e em duas ações do GitHub relacionadas. Além disso, os atacantes conseguiram comprometer pacotes npm, distribuindo um worm autossustentável chamado CanisterWorm. O grupo responsável, identificado como TeamPCP, também defaceou repositórios internos da Aqua Security no GitHub, expondo-os publicamente. A análise forense sugere que um token de conta de serviço comprometido foi o vetor do ataque. A crescente sofisticação dos atacantes é evidenciada pela introdução de um novo malware que apaga clusters Kubernetes, especialmente em sistemas iranianos. Diante da gravidade do incidente, é crucial que as organizações revisem o uso do Trivy em seus pipelines de CI/CD e evitem as versões afetadas.

O Salt Typhoon é um grupo de hackers associado ao governo chinês, que ganhou notoriedade por suas invasões a infraestruturas críticas, incluindo uma recente violação da rede do FBI. Este grupo, que surgiu em 2020, se destaca por sua abordagem discreta e técnica, utilizando ataques indiretos através de roteadores de provedores de internet, o que dificulta a detecção por sistemas de segurança. Em 2024, o Salt Typhoon invadiu sistemas de telecomunicações como AT&T e Verizon, obtendo acesso a informações sensíveis sobre investigações governamentais. A violação do FBI permitiu que os hackers acessassem dados confidenciais, incluindo mandados da Lei de Vigilância de Inteligência Estrangeira (FISA), possibilitando a eles monitorar e até alterar informações sobre alvos de vigilância. Este incidente evidencia como a ciberespionagem pode impactar a segurança nacional e a integridade de informações estratégicas. A atuação do Salt Typhoon ressalta a necessidade de vigilância constante e de medidas de segurança robustas para proteger dados sensíveis em um mundo cada vez mais digital.

O VoidStealer é um novo infostealer que utiliza uma abordagem inovadora para contornar a Application-Bound Encryption (ABE) do Google Chrome, permitindo a extração da chave mestra necessária para decifrar dados sensíveis armazenados no navegador. Essa técnica, que se baseia em breakpoints de hardware, permite que o malware acesse diretamente a memória do navegador sem necessidade de elevação de privilégios ou injeção de código. O ABE foi introduzido na versão 127 do Chrome, em junho de 2024, como uma proteção para cookies e dados sensíveis, mas já foi burlado por diversas famílias de malware. O VoidStealer, que opera como uma plataforma de malware como serviço (MaaS) desde dezembro de 2025, é o primeiro a adotar essa técnica de bypass em um ambiente real. O ataque ocorre durante a inicialização do navegador, quando a chave mestra é temporariamente acessível em texto claro. Embora a técnica tenha sido inspirada em um projeto de código aberto, sua implementação no VoidStealer representa um avanço significativo na capacidade de roubo de dados. A situação é preocupante, pois o malware pode afetar uma ampla gama de usuários do Chrome, exigindo atenção redobrada das equipes de segurança.

O combate à pirataria na internet enfrenta desafios significativos, conforme evidenciado por casos como o de Anna’s Archive e plataformas de streaming como Stremio. A dificuldade em desmantelar sites piratas se deve à distinção entre domínios, servidores e acervos de dados. Quando um domínio é removido, os arquivos podem permanecer em servidores alternativos, permitindo que a pirataria se reinvente rapidamente. Os sites utilizam magnet links, que são textos simples que direcionam para torrents, facilitando a replicação de sua infraestrutura. Além disso, a hospedagem em servidores internacionais e na dark web complica a aplicação da lei, uma vez que as jurisdições variam e o rastreamento se torna mais difícil. A prisão de indivíduos envolvidos na pirataria nem sempre resulta em uma solução duradoura, pois muitos podem continuar a operar sob pseudônimos ou com código aberto. A demanda por conteúdo acessível e a alta dos preços de serviços legais perpetuam a pirataria, indicando que bloqueios pontuais não resolverão o problema. Para que a pirataria diminua, as empresas precisam abordar questões de acessibilidade e disponibilidade de seus serviços.

O scanner de vulnerabilidades Trivy, amplamente utilizado por desenvolvedores e equipes de segurança, foi alvo de um ataque supply-chain realizado pelo grupo de ameaças conhecido como TeamPCP. O ataque resultou na distribuição de malware que rouba credenciais através de versões oficiais e ações do GitHub. A vulnerabilidade foi inicialmente divulgada pelo pesquisador de segurança Paul McCarty, que alertou sobre a versão 0.69.4 do Trivy, que havia sido comprometida. Análises posteriores revelaram que quase todas as tags do repositório trivy-action no GitHub foram afetadas, permitindo que o código malicioso fosse executado automaticamente em fluxos de trabalho externos. Os atacantes conseguiram comprometer o processo de construção do GitHub, substituindo scripts legítimos por versões maliciosas. O malware coletou dados sensíveis, incluindo chaves SSH, credenciais de nuvem e arquivos de configuração, armazenando-os em um arquivo que era enviado para um servidor de comando e controle. O ataque, que durou cerca de 12 horas, expôs a necessidade urgente de as organizações que utilizaram as versões afetadas tratarem seus ambientes como totalmente comprometidos, rotacionando todas as credenciais e analisando sistemas para possíveis compromissos.

Os roteadores, muitas vezes negligenciados pelos usuários, são alvos preferenciais para hackers devido à sua posição central na rede doméstica. Ao comprometer um roteador, os cibercriminosos podem monitorar e manipular todo o tráfego de dados que passa por ele, sem a necessidade de invadir cada dispositivo individualmente. Um exemplo recente é o malware DKnife, que opera silenciosamente desde 2019, permitindo que hackers interceptem conexões e redirecionem usuários para sites falsos, como páginas de bancos, onde podem roubar credenciais. Além disso, o malware pode substituir downloads legítimos por versões infectadas, aumentando ainda mais o risco. A falta de proteção nos roteadores, que não possuem antivírus ou alertas visíveis, torna essa vulnerabilidade ainda mais crítica. Para proteger sua rede, é essencial que os usuários atualizem regularmente o firmware do roteador, alterem senhas padrão e utilizem firewalls adequados. A segurança da rede depende da proteção do elo mais fraco, que neste caso é o roteador.

O Google anunciou uma nova funcionalidade chamada Advanced Flow, que permitirá a instalação de APKs de desenvolvedores não verificados de forma mais segura no Android. Programada para ser lançada em agosto, essa nova abordagem visa minimizar os riscos de infecções por malware e fraudes, que causaram perdas estimadas em US$ 442 bilhões no último ano, segundo a Global Anti-Scam Alliance (GASA). Para instalar aplicativos de desenvolvedores não verificados, os usuários precisarão passar por um processo único que inclui ativar o Modo Desenvolvedor, confirmar que não estão sendo orientados por agentes maliciosos, reiniciar o dispositivo e reautenticar. Após um dia, eles devem confirmar a legitimidade das modificações. O sistema foi projetado para dificultar táticas de golpe que exploram a urgência, evitando que os usuários instalem software malicioso sob pressão. O Google também está implementando um sistema de verificação de identidade para todos os desenvolvedores de aplicativos Android, que entrará em vigor em agosto de 2026. Essa medida é uma resposta à crescente sofisticação do malware e à necessidade de proteger os usuários em um ambiente digital cada vez mais arriscado.

Recentemente, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) e o FBI alertaram sobre campanhas de phishing conduzidas por atores associados aos serviços de inteligência da Rússia. Essas campanhas têm como alvo aplicativos de mensagens comerciais (CMAs) como WhatsApp e Signal, visando indivíduos de alto valor de inteligência, incluindo oficiais do governo dos EUA, militares, figuras políticas e jornalistas. Os ataques resultaram no comprometimento de milhares de contas, permitindo que os invasores visualizassem mensagens, listas de contatos e enviassem mensagens em nome das vítimas. Importante ressaltar que os ataques não exploram vulnerabilidades de segurança, mas sim utilizam engenharia social para enganar as vítimas a fornecerem códigos de verificação ou a clicarem em links maliciosos. A C4, centro de coordenação de crises cibernéticas da França, também emitiu um alerta sobre o aumento dessas campanhas. Para se proteger, os usuários devem evitar compartilhar códigos de verificação e ter cautela ao receber mensagens inesperadas. A Signal enfatizou que nunca solicitará códigos de verificação por mensagens diretas ou redes sociais, alertando que qualquer solicitação desse tipo é uma fraude.

Um ataque à cadeia de suprimentos visando o popular scanner Trivy resultou na infecção de diversos pacotes npm por um novo malware chamado CanisterWorm. Este worm se propaga automaticamente e utiliza um canister da Internet Computer blockchain como ponto de controle. O ataque foi atribuído ao grupo criminoso TeamPCP, que publicou versões maliciosas do Trivy contendo um ladrão de credenciais. A infecção ocorre através de um hook postinstall que executa um loader, instalando um backdoor em Python que se conecta ao canister para buscar novos payloads. O malware é projetado para ser resiliente, utilizando um serviço systemd que reinicia automaticamente o backdoor. Além disso, uma nova variante do CanisterWorm foi identificada, que se propaga sem intervenção manual, coletando tokens npm do ambiente do desenvolvedor. A situação é crítica, pois cada desenvolvedor que instala pacotes infectados pode se tornar um vetor de propagação, ampliando o alcance do ataque. Este incidente destaca a vulnerabilidade dos sistemas de gerenciamento de pacotes e a necessidade urgente de medidas de segurança mais robustas.

A Kingston apresentou o IronKey Locker+ 50 G2, um pen drive USB com criptografia de hardware XTS-AES de 256 bits, que atende aos padrões de conformidade FIPS 197, frequentemente exigidos em contratos governamentais e empresariais. Este dispositivo é projetado para proteger dados sensíveis, utilizando firmware digitalmente assinado para minimizar riscos de ataques do tipo BadUSB. O IronKey Locker+ 50 G2 oferece múltiplos modos de senha, permitindo combinações complexas e frases mais longas, o que facilita a memorização sem comprometer a segurança. Além disso, possui um teclado virtual para evitar a captura de teclas e um revestimento anti-impressão digital, focado na durabilidade física. Com capacidade que varia de 32 GB a 256 GB e velocidades de leitura de até 145 MB/s, o dispositivo é compatível com Windows 11 e macOS, sem necessidade de instalação de software adicional. A configuração é simples, embora a exigência de letras de unidade consecutivas possa limitar algumas configurações de sistema. O IronKey Locker+ 50 G2 é uma solução robusta para empresas e usuários que buscam segurança avançada para seus dados.

A Operação Alice, uma ação internacional de combate ao cibercrime, resultou no fechamento de mais de 373 mil sites na dark web que ofereciam pacotes fraudulentos de material de abuso sexual infantil (CSAM). A investigação, liderada pela Alemanha e apoiada pela Europol, começou em meados de 2021 e focou em uma plataforma chamada ‘Alice with Violence CP’, operada por um suspeito de 35 anos na China. Os sites enganavam os usuários ao mostrar prévias de pacotes de CSAM, cobrando entre 17 e 250 euros em Bitcoin, mas nunca entregando o material prometido. Aproximadamente 10 mil usuários foram enganados, resultando em um prejuízo de cerca de 400 mil dólares para os operadores. Embora os usuários não tenham recebido o material ilegal, suas tentativas de compra demonstram intenção criminosa, o que pode levar a processos em várias jurisdições. A infraestrutura da rede de fraudes incluía 287 servidores, dos quais 105 estavam na Alemanha, todos agora apreendidos. As autoridades alemãs emitiram um mandado de prisão internacional para o operador chinês. A Europol também destacou suas iniciativas de proteção infantil, como a plataforma Help4U e a campanha ‘Stop Child Abuse – Trace an Object’.

O FBI emitiu um alerta público informando que atores de ameaças ligados à inteligência russa estão atacando usuários de aplicativos de mensagens criptografadas, como Signal e WhatsApp, por meio de campanhas de phishing que já comprometeram milhares de contas. Este é o primeiro reconhecimento público que vincula essas campanhas diretamente aos serviços de inteligência da Rússia. Os ataques visam contornar as proteções da criptografia de ponta a ponta não quebrando a criptografia, mas sim por meio de sequestros de contas. Os atacantes podem acessar mensagens privadas, listas de contatos e até se passar pelas vítimas para lançar novas campanhas de phishing. O FBI destaca que os alvos principais incluem indivíduos com acesso a informações sensíveis, como funcionários do governo dos EUA, militares, figuras políticas e jornalistas. As autoridades de cibersegurança da França e da Holanda também emitiram alertas semelhantes, enfatizando que os ataques são amplos e em andamento em vários países. Os usuários são aconselhados a desconfiar de mensagens inesperadas e a nunca compartilhar códigos de verificação ou escanear QR codes suspeitos.

O Trivy, um scanner de vulnerabilidades de código aberto mantido pela Aqua Security, sofreu sua segunda violação em um mês, resultando na entrega de malware que rouba segredos sensíveis de CI/CD. O incidente mais recente afetou as ações do GitHub ‘aquasecurity/trivy-action’ e ‘aquasecurity/setup-trivy’, utilizadas para escanear imagens de contêiner Docker e configurar fluxos de trabalho no GitHub. Um atacante forçou a modificação de 75 das 76 tags de versão no repositório ‘aquasecurity/trivy-action’, transformando referências de versões confiáveis em um mecanismo de distribuição para um infostealer. O malware, que opera em três etapas, busca extrair segredos valiosos de ambientes de CI/CD, como chaves SSH e credenciais de provedores de serviços em nuvem. O ataque é atribuído a um grupo conhecido como TeamPCP, que se especializa em roubo de dados na nuvem. Os usuários são aconselhados a usar versões seguras e a tratar todos os segredos de pipeline como comprometidos se estiverem usando versões afetadas. Medidas de mitigação incluem bloquear o domínio de exfiltração e monitorar contas do GitHub em busca de repositórios suspeitos.

Sasha-Jay Davies, uma jovem britânica de 19 anos, se tornou vítima de catfishing, uma prática onde indivíduos roubam a identidade de outra pessoa na internet para enganar outros usuários. O caso de Davies é alarmante, pois um perfil falso que usava suas fotos e informações pessoais acumulou mais de 81 mil seguidores no TikTok e 22 mil no Instagram. O impostor, que atuou por quase quatro anos, não apenas gerou constrangimento para Davies, mas também a colocou em situações perigosas, como ser confrontada por pessoas que acreditavam que ela era a responsável por encontros que nunca ocorreram. Apesar da gravidade da situação, a polícia afirmou que pouco poderia ser feito, já que o ato não envolvia extorsão ou ameaças diretas, o que levanta questões sobre a eficácia das leis atuais em lidar com crimes virtuais. Especialistas alertam que a prevenção é crucial, recomendando que os usuários limitem a exposição de informações pessoais e adotem práticas de segurança, como senhas fortes e autenticação em duas etapas. O caso destaca a necessidade urgente de uma legislação mais robusta para lidar com crimes de identidade na era digital.

O uso de ferramentas de inteligência artificial para clonar vozes está se tornando uma realidade preocupante, especialmente em golpes financeiros. Giovanni La Porta, CEO da vortice.ai, destacou em entrevista que criminosos estão utilizando ligações silenciosas para coletar amostras de voz de suas vítimas. Após alguns segundos de conversa, a voz clonada é utilizada para enviar mensagens de áudio pelo WhatsApp, imitando a voz de um familiar ou amigo e solicitando transferências de dinheiro. Essa nova abordagem elimina a desconfiança que normalmente acompanha mensagens de texto, tornando os golpes mais eficazes. A evolução dos deepfakes, que antes eram facilmente identificáveis, agora permite a clonagem de vozes com apenas alguns segundos de áudio. La Porta também mencionou casos em que deepfakes foram usados em reuniões corporativas, levando a decisões baseadas em instruções falsas. Embora a criação de deepfakes não seja, por si só, um crime, o uso malicioso desse tipo de tecnologia levanta preocupações legais e éticas, especialmente no contexto da LGPD no Brasil.

As tensões geopolíticas estão se refletindo cada vez mais no ciberespaço, com ataques motivados pela desestabilização em vez de lucro financeiro. Grupos de atores estatais, como os iranianos, têm utilizado malware destrutivo, conhecido como wiper, para causar caos operacional em organizações e infraestruturas críticas. Um exemplo recente é o ataque do grupo Handala à Stryker, que resultou na destruição de milhares de dispositivos e na interrupção das operações em 79 países. Para os líderes de segurança, a questão não é apenas como prevenir intrusões, mas como sobreviver a elas. O artigo apresenta uma estratégia em cinco etapas para os CISOs, focando na contenção e no controle interno. As etapas incluem: impedir o roubo de credenciais, prevenir o movimento lateral através de portas administrativas, restringir contas privilegiadas, detectar caminhos de acesso não autorizados e conter atividades destrutivas rapidamente. A eficácia dessas medidas depende da capacidade de limitar o movimento dos atacantes dentro da rede, uma vez que a maioria dos ataques destrutivos não requer malware sofisticado, mas sim acesso irrestrito.

A Sansec alertou sobre uma falha de segurança crítica na API REST do Magento, que pode permitir que atacantes não autenticados façam upload de executáveis arbitrários, resultando em execução de código e possível tomada de conta. Denominada PolyShell, a vulnerabilidade se aproveita do fato de que o Magento aceita uploads de arquivos como parte das opções personalizadas de itens no carrinho. A falha afeta todas as versões do Magento Open Source e Adobe Commerce até a versão 2.4.9-alpha2. Embora a Adobe tenha corrigido o problema na versão pré-lançamento 2.4.9, as versões em produção permanecem vulneráveis. Para mitigar riscos, recomenda-se restringir o acesso ao diretório de uploads e verificar as regras do servidor web. Além disso, a Sansec observou uma campanha em andamento que comprometeu e desfigurou milhares de sites de e-commerce Magento, afetando grandes marcas globais. A situação destaca a necessidade urgente de ações corretivas por parte de administradores de sistemas e CISOs para proteger suas infraestruturas contra possíveis explorações dessa vulnerabilidade.

A Inteligência Artificial (IA) está transformando a forma como indivíduos e organizações enfrentam ameaças cibernéticas, especialmente no que diz respeito a ataques de phishing e malware. Os cibercriminosos estão utilizando IA para criar e-mails de phishing personalizados e deepfakes, além de desenvolver malware que consegue evitar a detecção tradicional, imitando comportamentos normais de usuários. Isso torna os modelos de segurança baseados em regras insuficientes para proteger identidades contra essas ameaças habilitadas por IA. Os ataques baseados em IA introduzem riscos distintos, como phishing automatizado e abuso de credenciais, que se adaptam para evitar detecções. Para enfrentar esses desafios, as análises comportamentais precisam evoluir, passando de um monitoramento simples para um modelo de risco dinâmico e baseado em identidade, capaz de identificar inconsistências em tempo real. A segurança deve se estender por toda a infraestrutura, adotando um modelo de segurança de confiança zero, onde nenhum usuário ou dispositivo é automaticamente confiável. Além disso, a proteção de identidades deve incluir análises comportamentais contínuas e controles de acesso granulares, especialmente em ambientes híbridos e multi-nuvem.

O Google anunciou uma nova funcionalidade para o sistema Android que introduz um fluxo avançado para a instalação de aplicativos de desenvolvedores não verificados, exigindo um período de espera obrigatório de 24 horas. Essa mudança visa equilibrar a abertura da plataforma com a segurança dos usuários, especialmente em um contexto onde a verificação de desenvolvedores se tornou obrigatória. O objetivo é identificar rapidamente atores maliciosos e impedir a distribuição de malware. A nova abordagem permite que usuários experientes instalem aplicativos não verificados após habilitar o modo desenvolvedor, confirmar que estão agindo por conta própria, reiniciar o dispositivo e passar por uma autenticação biométrica ou PIN. Essa medida busca dificultar ataques cibernéticos, como os que envolvem a manipulação de permissões para desativar o Play Protect, a ferramenta anti-malware do Google. Apesar das intenções de segurança, a nova política gerou críticas de mais de 50 desenvolvedores e organizações, que expressaram preocupações sobre privacidade e barreiras de entrada. O Google também planeja oferecer contas de distribuição limitada para desenvolvedores amadores, permitindo que compartilhem aplicativos sem a necessidade de identificação oficial. Essas mudanças estão programadas para serem implementadas em agosto de 2026.

Uma vulnerabilidade crítica no Langflow, identificada como CVE-2026-33017, foi explorada ativamente apenas 20 horas após sua divulgação pública. Com uma pontuação CVSS de 9.3, a falha resulta de uma combinação de falta de autenticação e injeção de código, permitindo a execução remota de código sem autenticação. O endpoint vulnerável, /api/v1/build_public_tmp/{flow_id}/flow, permite a construção de fluxos públicos sem exigir autenticação, o que possibilita que atacantes enviem dados controlados por eles, incluindo código Python arbitrário. A exploração bem-sucedida pode permitir que um invasor execute código com privilégios totais do servidor, acessando variáveis de ambiente e arquivos sensíveis.

O aumento da adoção de agentes de inteligência artificial (IA) nas empresas do Reino Unido está gerando preocupações significativas em relação à segurança cibernética. De acordo com o relatório Cyber Pulse da Microsoft, 62% das empresas britânicas já utilizam agentes de IA, um aumento de 22% em relação ao ano anterior. Apesar de 84% dos líderes empresariais reconhecerem que agentes de IA não autorizados representam um risco sério, a visibilidade sobre o uso desses agentes não está acompanhando o crescimento. A falta de gerenciamento adequado cria pontos cegos para as equipes de segurança, especialmente quando esses agentes operam de forma autônoma em diferentes redes e dispositivos. As prioridades das equipes de segurança incluem garantir visibilidade sobre onde os agentes estão operando, introduzir esses agentes de forma segura nos sistemas existentes e assegurar que atendam aos requisitos de conformidade e auditoria. A Microsoft sugere que as empresas tratem os agentes de IA como identidades gerenciadas, aplicando princípios de zero trust e acesso com privilégios mínimos para mitigar riscos enquanto continuam a inovar.

Um homem da Carolina do Norte foi condenado por extorquir a Brightly Software, uma empresa de tecnologia baseada em Washington, D.C., enquanto ainda trabalhava como analista de dados. Cameron Curry, de 27 anos, aproveitou seu acesso a informações sensíveis da empresa para roubar documentos e ameaçar vazar dados pessoais de funcionários, exigindo um resgate de 2,5 milhões de dólares. Após o término de seu contrato em dezembro de 2023, ele enviou mais de 60 e-mails de extorsão, incluindo informações pessoais identificáveis (PII) de funcionários, como nomes e endereços. A Brightly pagou 7.540 dólares em Bitcoin para evitar a divulgação dos dados. O FBI prendeu Curry em janeiro de 2024, e ele enfrenta até 12 anos de prisão. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a importância de proteger informações sensíveis, especialmente em um cenário de crescente criminalidade cibernética. Além disso, a Brightly já havia notificado seus clientes sobre um vazamento de dados anterior, afetando quase 3 milhões de usuários, o que levanta preocupações sobre a segurança de dados na era digital.

A Microsoft confirmou que a atualização cumulativa KB5079473, lançada em março, está causando problemas de login em várias aplicações que utilizam contas Microsoft, como Teams, OneDrive, Edge, Excel e Word. Após a instalação dessa atualização, os usuários estão recebendo mensagens de erro que indicam que seus dispositivos não estão conectados à Internet, mesmo quando estão. A empresa esclareceu que o problema afeta apenas operações de login com contas Microsoft, não impactando empresas que utilizam Entra ID para autenticação. Para contornar a situação, a Microsoft sugere que os usuários reiniciem seus dispositivos enquanto permanecem conectados à Internet, o que pode resolver temporariamente o problema. Além disso, a Microsoft lançou atualizações de emergência para corrigir falhas de segurança e problemas de visibilidade de dispositivos Bluetooth em versões específicas do Windows 11. A situação destaca a importância de monitorar atualizações e suas consequências, especialmente em ambientes corporativos que dependem de ferramentas Microsoft.

Autoridades dos Estados Unidos, Alemanha e Canadá realizaram uma operação conjunta para desmantelar a infraestrutura de Comando e Controle (C2) utilizada pelas botnets Aisuru, KimWolf, JackSkid e Mossad, que infectavam dispositivos da Internet das Coisas (IoT). Essa ação visou servidores virtuais, domínios da internet e outras infraestruturas que possibilitaram a realização de centenas de milhares de ataques de negação de serviço distribuído (DDoS) em todo o mundo, incluindo endereços IP pertencentes à rede de informações do Departamento de Defesa dos EUA. A botnet Aisuru, por exemplo, estabeleceu um recorde em dezembro com um ataque DDoS que atingiu 31,4 Tbps e 200 milhões de requisições por segundo, afetando principalmente empresas do setor de telecomunicações. As investigações revelaram que essas botnets infectaram mais de três milhões de dispositivos IoT, como câmeras de segurança e roteadores WiFi, muitos localizados nos EUA. Os operadores das botnets vendiam acesso a outros cibercriminosos, permitindo ataques que resultaram em perdas financeiras significativas. A operação conjunta teve como objetivo interromper as comunicações associadas a essas botnets e prevenir novas infecções.

O músico Michael Smith, da Carolina do Norte, se declarou culpado por um esquema de fraude de royalties que arrecadou mais de R$ 10 milhões através de plataformas de streaming como Spotify, Apple Music, Amazon Music e YouTube Music. Smith, de 54 anos, adquiriu centenas de milhares de músicas geradas por inteligência artificial (IA) e as carregou nessas plataformas. Para inflacionar artificialmente as estatísticas de audição, ele utilizou bots de IA que reproduziram as faixas bilhões de vezes entre 2017 e 2024. Documentos judiciais revelaram que ele colaborou com um promotor musical não identificado e o CEO de uma empresa de música baseada em IA para evitar a detecção dos sistemas antifraude, utilizando redes privadas virtuais (VPNs). Em um e-mail de 2018, Smith destacou a necessidade de criar um grande volume de conteúdo com pequenas quantidades de streams para contornar as políticas antifraude. No auge da operação, ele operava mais de 1.000 contas de bots, estimando que cada bot poderia gerar cerca de 661.440 streams por dia. Smith concordou em pagar mais de R$ 8 milhões em confisco e enfrenta uma pena máxima de 5 anos de prisão por conspiração para cometer fraude eletrônica. O caso levanta preocupações sobre a integridade das plataformas de streaming e o impacto de fraudes semelhantes na indústria musical.

O Departamento de Justiça dos EUA anunciou a desarticulação de infraestruturas de comando e controle (C2) de várias botnets de Internet das Coisas (IoT), incluindo AISURU, Kimwolf, JackSkid e Mossad. Essa operação, que contou com a colaboração de autoridades do Canadá e da Alemanha, resultou na interrupção de ataques de negação de serviço distribuído (DDoS) que alcançaram picos de até 30 Terabits por segundo. As botnets, que infectaram mais de 3 milhões de dispositivos em todo o mundo, foram responsáveis por ataques massivos, como o de 31,4 Tbps em novembro de 2025. O Kimwolf, em particular, destacou-se por explorar redes proxy residenciais, permitindo acesso a dispositivos tradicionalmente protegidos. A operação envolveu empresas de tecnologia como Amazon Web Services e Cloudflare, que auxiliaram na investigação e mitigação dos ataques. Embora a desarticulação tenha sido um avanço significativo, especialistas alertam que a resiliência das botnets e a proliferação de novas variantes continuam a representar um risco elevado para a segurança cibernética global.

Um estudo da Jscrambler revelou que as plataformas Meta e TikTok estão coletando dados sensíveis dos usuários sem o devido consentimento, utilizando pixels de rastreamento de anúncios. Entre as informações coletadas estão dados sobre cartões de crédito, nomes completos, comportamentos online e geolocalização, mesmo quando os usuários optam por não compartilhar essas informações. A coleta ocorre no momento em que o usuário interage com anúncios ou visita sites de anunciantes, o que pode configurar uma violação das leis de privacidade de dados, como a LGPD no Brasil. Em resposta, representantes da Meta e do TikTok negaram as acusações, alegando que as práticas estão em conformidade com as políticas de privacidade e as leis locais. A utilização de pixels de rastreamento, que são pequenos trechos de código JavaScript, é uma prática comum entre empresas que buscam maximizar o retorno sobre investimento em publicidade, mas levanta sérias preocupações sobre a privacidade dos usuários. O estudo também aponta que 9% dos sites utilizam o pixel de rastreamento da Meta, enquanto 0,7% usam o do TikTok, evidenciando a amplitude do problema.

Um novo malware chamado Perseus está causando preocupação entre especialistas em cibersegurança, pois se concentra na coleta de informações sensíveis armazenadas em aplicativos de notas no Android. Ao invés de focar em credenciais bancárias, o Perseus realiza uma varredura em busca de senhas e frases de recuperação, utilizando táticas de engenharia social para obter controle total do dispositivo da vítima. O malware é distribuído por meio de aplicativos disfarçados de serviços de IPTV, que são frequentemente baixados fora das lojas oficiais, facilitando a infecção. Uma vez instalado, o Perseus utiliza serviços de acessibilidade do Android para acessar e ler o conteúdo dos aplicativos de notas sem gerar alertas de segurança. Além disso, ele captura telas e simula toques, permitindo que os hackers monitorem as atividades em tempo real. A ameaça é considerada silenciosa e pode afetar aplicativos populares como Google Keep e Evernote, tornando-se um risco significativo para a privacidade dos usuários.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

A Bitrefill, uma plataforma de e-commerce que permite a compra de cartões-presente com criptomoedas, sofreu um ataque cibernético no início do mês, supostamente perpetrado pelo grupo de hackers norte-coreano Bluenoroff. Durante a investigação, a empresa identificou semelhanças com ataques anteriores atribuídos a esse grupo, incluindo o uso de malware específico e endereços IP e e-mails reutilizados. O ataque foi originado a partir de um laptop comprometido de um funcionário, onde os atacantes conseguiram roubar credenciais e acessar informações sensíveis, incluindo partes da infraestrutura da Bitrefill e algumas carteiras de criptomoedas. Aproximadamente 18.500 registros de compras, que continham endereços de e-mail e IP de clientes, foram expostos, embora a empresa tenha assegurado que os saldos dos usuários não foram afetados. A Bitrefill, que opera em 150 países e suporta mais de 600 operadores móveis, está implementando medidas de segurança adicionais e revisando seus controles de acesso. Apesar da gravidade do ataque, a empresa conseguiu minimizar as perdas, que serão cobertas por seu capital. A Bitrefill acredita que os atacantes estavam mais interessados em criptomoedas e no estoque de cartões-presente do que nas informações dos clientes.

Uma nova vulnerabilidade, chamada ‘PolyShell’, foi descoberta e afeta todas as versões estáveis 2 do Magento Open Source e do Adobe Commerce. Essa falha permite a execução de código não autenticado e a tomada de controle de contas. Embora não haja evidências de exploração ativa até o momento, a empresa de segurança eCommerce Sansec alerta que métodos de exploração já estão circulando, prevendo que ataques automatizados possam começar em breve. A Adobe lançou uma correção, mas ela está disponível apenas na segunda versão alfa da versão 2.4.9, deixando as versões de produção vulneráveis. A vulnerabilidade está relacionada à API REST do Magento, que aceita uploads de arquivos como parte das opções personalizadas para itens do carrinho. Quando um produto tem uma opção do tipo ‘arquivo’, o Magento processa um objeto file_info embutido que contém dados de arquivo codificados em base64, tipo MIME e nome do arquivo, escrevendo-o no servidor. A Sansec observou que muitos sites expõem arquivos no diretório de upload, aumentando o risco de execução remota de código ou tomada de conta via XSS armazenado. Até que a Adobe disponibilize um patch para as versões de produção, recomenda-se que os administradores de lojas restrinjam o acesso ao diretório pub/media/custom_options/, verifiquem as regras do servidor web e realizem varreduras em busca de shells e malware.

A Navia Benefit Solutions, Inc. (Navia) anunciou que cerca de 2,7 milhões de indivíduos foram impactados por uma violação de dados que expôs informações sensíveis a atacantes. A investigação revelou que os hackers tiveram acesso aos sistemas da empresa entre 22 de dezembro de 2025 e 15 de janeiro de 2026, com a atividade suspeita sendo detectada em 23 de janeiro. A empresa, que fornece serviços de administração de benefícios a mais de 10.000 empregadores nos EUA, confirmou que dados como data de nascimento, número de Seguro Social, telefone, e-mail e informações sobre contas de gastos flexíveis (FSA) e reembolso de saúde (HRA) foram acessados. Embora não tenham sido expostos dados financeiros ou de reivindicações, as informações vazadas são suficientes para que os criminosos realizem ataques de phishing e engenharia social. A Navia está revisando suas políticas de segurança e retenção de dados e notificou as autoridades federais. Os clientes afetados receberão um serviço gratuito de proteção de identidade e monitoramento de crédito por 12 meses. Até o momento, nenhum grupo de ransomware reivindicou a violação.

Uma nova análise sobre ferramentas de detecção e resposta em endpoints (EDR) revelou que 54 delas utilizam a técnica conhecida como ’traga seu próprio driver vulnerável’ (BYOVD), explorando um total de 34 drivers vulneráveis. Esses programas, comumente usados em intrusões de ransomware, permitem que os atacantes neutralizem softwares de segurança antes de implantar malware de criptografia de arquivos. A pesquisa da ESET destaca que grupos de ransomware frequentemente produzem novas versões de seus criptografadores, tornando a detecção um desafio, já que esses malwares são intrinsecamente barulhentos. Os EDR killers atuam como componentes externos que desativam controles de segurança, facilitando a execução do ransomware. A maioria dessas ferramentas se aproveita de drivers legítimos, mas vulneráveis, para obter privilégios elevados e desativar processos de segurança. A análise também identificou ferramentas baseadas em scripts e utilitários anti-rootkits que podem interferir no funcionamento normal dos produtos de segurança. Para mitigar esses riscos, é essencial que as organizações implementem defesas em camadas e estratégias de detecção para monitorar e responder proativamente a essas ameaças.

Pesquisadores de cibersegurança identificaram um novo malware chamado Speagle, que se infiltra em sistemas que utilizam o software legítimo Cobra DocGuard, uma plataforma de segurança e criptografia de documentos. O Speagle tem como objetivo coletar informações sensíveis dos computadores infectados e enviá-las para um servidor comprometido do Cobra DocGuard, disfarçando a exfiltração de dados como comunicações legítimas. Este malware é notável por seu direcionamento específico, visando apenas sistemas com o Cobra DocGuard instalado, o que sugere uma intenção deliberada de espionagem industrial ou coleta de inteligência. O Speagle é rastreado sob o nome Runningcrab e, até o momento, não foi atribuído a nenhum ator específico, embora as investigações indiquem que pode ser obra de um agente patrocinado por um estado ou de um contratado privado. A forma de entrega do malware ainda é desconhecida, mas suspeita-se que tenha ocorrido por meio de um ataque à cadeia de suprimentos. O malware utiliza a infraestrutura do Cobra DocGuard para ocultar suas atividades maliciosas e se autoexcluir após a execução. Além disso, uma variante do Speagle possui funcionalidades adicionais para ativar ou desativar a coleta de dados e busca por arquivos relacionados a mísseis balísticos chineses. Essa nova ameaça representa um risco significativo para organizações que utilizam o Cobra DocGuard, exigindo atenção especial dos profissionais de segurança da informação.

Deepfakes, vídeos e imagens manipuladas por inteligência artificial, estão se tornando cada vez mais difíceis de serem detectados, tanto pelo olho humano quanto por ferramentas tecnológicas. Uma análise recente do PC World revelou que muitas plataformas de segurança falham em identificar conteúdos gerados por IA, permitindo que deepfakes de alta qualidade passem despercebidos. Um exemplo notável é um vídeo no TikTok, onde uma mulher demonstra um produto, mas apresenta movimentos faciais estranhos, que levantaram suspeitas. Ferramentas como o deepfakedetector.ai forneceram estimativas de 5% a 24% de probabilidade de que o vídeo fosse um deepfake, enquanto o Hive Moderation conseguiu identificar corretamente o conteúdo como gerado por IA. Para evitar cair em golpes relacionados a deepfakes, é essencial manter um ceticismo saudável e prestar atenção a detalhes como sincronia labial e movimentos faciais. Além disso, recomenda-se o uso de buscas reversas de imagens para verificar a autenticidade de produtos e perfis. Com a evolução das deepfakes, a necessidade de ferramentas de detecção mais eficazes e a conscientização do público se tornam cada vez mais urgentes.

A Polícia Federal (PF) lançou a ‘Operação Guardião Digital’ para combater crimes cibernéticos relacionados ao abuso sexual de crianças e adolescentes. A operação abrangeu 17 estados brasileiros e resultou na emissão de 35 mandados de busca e apreensão. O foco é identificar e responsabilizar indivíduos que armazenam, compartilham, produzem ou comercializam materiais de abuso sexual infantojuvenil na internet. Além disso, a operação coincide com a implementação do Estatuto Digital da Criança e do Adolescente (ECA Digital), que estabelece novos mecanismos de proteção para menores no ambiente digital, como verificação de idade e controle parental. A PF também irá colaborar com autoridades governamentais para a criação do Centro Nacional de Proteção à Criança e ao Adolescente, que receberá comunicações sobre conteúdos virtuais que possam violar a integridade de crianças e adolescentes. Essa ação é um passo significativo na luta contra a exploração sexual infantil online e destaca a importância da segurança infantojuvenil na internet.

A NordVPN lançou uma nova ferramenta gratuita de verificação de fraudes online, que utiliza inteligência artificial para detectar mensagens e imagens falsas em tempo quase real. A ferramenta é acessível a todos, sem necessidade de assinatura, permitindo que até mesmo usuários menos experientes, como idosos, possam se proteger contra tentativas de phishing e fraudes. O funcionamento é simples: o usuário pode colar uma mensagem ou fazer upload de uma captura de tela para receber um veredicto em segundos. A ferramenta analisa textos e imagens em busca de links, números de telefone e endereços de e-mail suspeitos, identificando padrões comuns em fraudes. Com o aumento das fraudes online, que resultaram em perdas de US$ 442 bilhões no último ano, a NordVPN reafirma seu compromisso em proteger os usuários. Além dessa nova funcionalidade, a empresa já oferece outras ferramentas de segurança, como proteção contra chamadas fraudulentas e monitoramento da dark web. Essa iniciativa é um passo importante na luta contra o cibercrime e visa aumentar a conscientização sobre os riscos online.

O artigo da TechRadar destaca a Logitech Brio 100, uma webcam externa que está com preço promocional de $25, reduzido de $40, disponível na Best Buy. A Brio 100 é uma solução acessível para quem ainda utiliza a câmera embutida do laptop, que geralmente apresenta qualidade de imagem inferior, especialmente em condições de iluminação desfavoráveis. A webcam grava em Full HD 1080p a 30 quadros por segundo, oferecendo uma imagem mais nítida e clara. Além disso, possui um microfone embutido que melhora a qualidade do áudio durante chamadas, embora não substitua um microfone profissional. A instalação é simples, com suporte plug-and-play via USB-A, compatível com Windows, macOS e ChromeOS, e funciona com plataformas como Teams, Zoom e Google Meet. Um recurso importante é o obturador de privacidade físico, que permite cobrir a lente quando não está em uso. Com um design compacto, a Brio 100 é fácil de posicionar e não ocupa muito espaço. Essa webcam representa uma atualização prática e econômica para melhorar a qualidade das chamadas online.

A empresa de segurança digital Aura confirmou um vazamento de dados que expôs cerca de 900 mil registros de clientes após um ataque de phishing realizado por telefone. O incidente ocorreu quando um funcionário da empresa foi alvo de um golpe, permitindo que o invasor acessasse sua conta por aproximadamente uma hora. Durante esse período, foram extraídos dados de clientes ativos e antigos, incluindo nomes e endereços de e-mail, mas informações sensíveis como números de Seguro Social e dados financeiros não foram comprometidos. A Aura informou que os dados foram retirados de uma ferramenta de marketing adquirida em 2021 e que suas medidas de segurança, como criptografia e acesso restrito, funcionaram conforme o esperado. O grupo ShinyHunters reivindicou a responsabilidade pelo ataque e adicionou a Aura ao seu site de extorsão, alegando ter obtido 12 GB de informações pessoais identificáveis. A empresa está notificando os clientes afetados e não espera que o ataque se agrave.

A NymVPN lançou uma atualização significativa em seu software, introduzindo melhorias na interface do usuário e ferramentas de anti-censura. A versão 2026.5, agora disponível para usuários de Android, Windows e Linux, oferece uma nova interface que permite visualizar o consumo de dados de forma clara, além de corrigir um erro que bloqueava o acesso ao serviço quando o limite de dados era atingido. A atualização também aprimora a infraestrutura de DNS, tornando o serviço mais resistente a bloqueios em regiões com forte censura. No entanto, usuários de dispositivos Apple terão que aguardar um pouco mais, pois a atualização para iOS e macOS está atrasada devido ao processo de revisão da App Store e à necessidade de testes adicionais, respectivamente. A NymVPN está em um caminho de evolução, com planos para aumentar a velocidade de mixnet e melhorar a resistência à censura nos próximos dois anos.

O grupo de cibercriminosos conhecido como Inc reivindicou a responsabilidade pelo ataque à Namibia Airports Company (NAC), ocorrido em 6 de março de 2026. A NAC confirmou um incidente de segurança que afetou seus sistemas de TI, resultando em acesso não autorizado à infraestrutura de rede e contas administrativas. Embora a NAC tenha declarado que os serviços foram restaurados e a interrupção operacional foi limitada, a Inc alegou ter roubado cerca de 500 GB de dados. Até o momento, não há confirmação sobre o pagamento de resgate ou detalhes sobre como o ataque foi realizado. O grupo Inc, que surgiu em julho de 2023, é conhecido por suas táticas de ransomware, incluindo phishing direcionado e exploração de vulnerabilidades conhecidas. Este ataque marca a quinta vez que a Inc ataca uma empresa do setor de aviação, com um histórico de 694 ataques de ransomware, dos quais 173 foram confirmados. O impacto de tais ataques pode ser significativo, causando atrasos no transporte, interrupções em serviços de reservas e pagamentos, além de aumentar o risco de fraudes para os viajantes. A NAC é responsável pela operação de oito grandes aeroportos na Namíbia, e a segurança cibernética nesse setor é crucial para a continuidade das operações.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para organizações americanas sobre a necessidade de fortalecer as configurações do Microsoft Intune, após um ataque cibernético que comprometeu os sistemas da Stryker Corporation, uma gigante da tecnologia médica. O ataque, reivindicado pelo grupo hacktivista Handala, resultou no roubo de 50 terabytes de dados e na utilização do comando de limpeza do Intune para apagar quase 80 mil dispositivos. Os hackers conseguiram criar uma nova conta de Administrador Global após comprometer uma conta de administrador existente. A CISA recomenda que as organizações adotem uma abordagem de menor privilégio para funções administrativas, implementem autenticação multifator (MFA) e exijam aprovação de múltiplos administradores para ações sensíveis, como a limpeza de dispositivos. Essas práticas visam aumentar a resiliência das organizações contra ataques semelhantes. O grupo Handala, vinculado ao Irã, é conhecido por suas operações de hacktivismo e por vazar dados sensíveis de sistemas comprometidos. O alerta da CISA destaca a importância de medidas proativas para proteger ambientes de gerenciamento de endpoints.

A Ubiquiti lançou patches para duas vulnerabilidades na aplicação UniFi Network, incluindo uma falha de gravidade máxima que pode permitir que atacantes assumam contas de usuários. A aplicação UniFi Network, também conhecida como UniFi Controller, é um software de gerenciamento que configura e otimiza hardware de rede da Ubiquiti, como pontos de acesso e switches. A vulnerabilidade, identificada como CVE-2026-22557, afeta versões 10.1.85 e anteriores da aplicação, permitindo que atacantes não privilegiados explorem uma vulnerabilidade de ‘Path Traversal’ para acessar arquivos no sistema e potencialmente sequestrar contas de usuários sem interação do usuário. Além disso, uma segunda falha permite que atacantes autenticados escalem privilégios através de uma vulnerabilidade de injeção NoSQL. Nos últimos anos, produtos da Ubiquiti foram alvo de grupos de hackers, incluindo ataques que resultaram na formação de botnets. O FBI, por exemplo, desmantelou uma botnet de roteadores Ubiquiti que era utilizada por agências de inteligência russas para realizar ataques cibernéticos. As versões corrigidas da aplicação estão disponíveis a partir da versão 10.1.89.

Embora as equipes de TI invistam consideravelmente na segurança de logins, muitas vezes não aplicam o mesmo rigor na redefinição de senhas. Um processo de redefinição fraco se torna um alvo lógico para atacantes, que podem escalar privilégios e se infiltrar em redes, assumindo identidades legítimas. O artigo destaca como os atacantes exploram caminhos de redefinição de senhas, como contas comprometidas, engenharia social e interceptação de tokens de redefinição. Para mitigar esses riscos, são apresentadas sete práticas recomendadas: exigir autenticação multifatorial (MFA), fortalecer a segurança dos dispositivos, impor políticas de senhas robustas, educar usuários e equipes de suporte, realizar auditorias regulares, implementar o princípio do menor privilégio e evitar autenticação baseada em conhecimento. A adoção dessas medidas pode proteger as organizações contra a escalada de privilégios e garantir a segurança dos dados. A segurança das redefinições de senhas é essencial para a proteção do ciclo de vida das contas, e soluções como o Specops uReset podem ajudar a fortalecer esses processos.

Hackers do grupo APT28, vinculado ao serviço de inteligência militar da Rússia (GRU), estão explorando uma vulnerabilidade crítica no Zimbra Collaboration Suite (ZCS) para atacar entidades governamentais da Ucrânia. A falha de segurança, identificada como CVE-2025-66376, foi corrigida em novembro e permite que atacantes não autenticados realizem execução remota de código (RCE) através de um ataque de cross-site scripting (XSS) armazenado. A Cybersecurity and Infrastructure Security Agency (CISA) dos EUA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais protegessem seus servidores em um prazo de duas semanas. Os ataques, que utilizam e-mails de phishing, têm como alvo instituições críticas, como a Agência Estatal de Hidrologia da Ucrânia. Os hackers enviam mensagens que contêm um payload JavaScript ofuscado, que, ao ser aberto, coleta credenciais e dados sensíveis do usuário. A vulnerabilidade do Zimbra tem sido frequentemente alvo de grupos patrocinados pelo Estado russo, com um histórico de exploração em larga escala. A situação destaca a necessidade urgente de medidas de segurança para proteger sistemas vulneráveis, especialmente em um contexto de crescente atividade cibernética hostil.

O FBI confiscou dois domínios utilizados pelo grupo hacktivista Handala, após um ataque cibernético devastador à gigante de tecnologia médica Stryker, que resultou na exclusão de aproximadamente 80.000 dispositivos. Os sites handala-redwanted[.]to e handala-hack[.]to agora exibem um aviso de apreensão, indicando que a ação foi realizada com um mandado emitido pelo Tribunal Distrital de Maryland. O aviso menciona que os domínios foram usados para facilitar atividades cibernéticas maliciosas em coordenação com um ator estatal estrangeiro. O Handala, vinculado ao Irã, é conhecido por realizar ataques direcionados a organizações israelenses, utilizando malware destrutivo. Após o ataque à Stryker, que envolveu a criação de uma conta de administrador global e o envio de um comando de ‘wipe’ pelo Microsoft Intune, a empresa e a CISA emitiram orientações para reforçar a segurança dos domínios Windows e do Intune. O Handala reconheceu a apreensão e afirmou que está trabalhando na criação de novas plataformas digitais para continuar suas operações.