Cibersegurança

Um novo malware baseado em Rust, chamado ChaosBot, foi descoberto utilizando a plataforma Discord para suas operações de Comando e Controle (C2). Diferente de botnets tradicionais, o ChaosBot oculta suas atividades maliciosas atrás do tráfego legítimo do Discord, criando canais de comunicação encobertos entre máquinas infectadas e atacantes. O malware valida seu acesso através da API do Discord, criando um canal privado que serve como um shell interativo, onde comandos como ‘shell’, ‘download’ e ‘scr’ (screenshot) podem ser executados. A infecção inicial ocorre por meio de credenciais comprometidas de VPN e Active Directory ou por e-mails de phishing disfarçados. O ChaosBot apresenta mecanismos avançados de evasão, como a desativação de rastreamento de eventos do Windows e a detecção de ambientes virtualizados, dificultando a identificação por ferramentas de segurança. A comunicação com a infraestrutura controlada pelos atacantes é realizada através de ferramentas legítimas, como o Fast Reverse Proxy (FRP) e o Visual Studio Code Tunnels, o que aumenta sua furtividade. Especialistas alertam que o uso de plataformas confiáveis para operações maliciosas representa uma tendência crescente entre famílias de malware em Rust, e recomendam que as organizações implementem autenticação multifator (MFA) e monitorem o tráfego da API do Discord.

A Kaspersky identificou uma nova campanha de ciberespionagem chamada PassiveNeuron, que visa organizações governamentais, financeiras e industriais na Ásia, África e América Latina. Os ataques foram inicialmente detectados em novembro de 2024, com foco em entidades governamentais na América Latina e na Ásia Oriental. Os invasores utilizam malwares sofisticados, como Neursite e NeuralExecutor, que permitem movimentação lateral na infraestrutura das vítimas e exfiltração de dados. A campanha se destaca pelo uso de servidores internos comprometidos como infraestrutura de comando e controle, dificultando a detecção. Os atacantes têm explorado vulnerabilidades em servidores Windows, possivelmente através de injeções SQL ou força bruta, para implantar backdoors e ferramentas como Cobalt Strike. Desde dezembro de 2024, novas infecções foram observadas, com indícios de que os autores sejam falantes de chinês. A Kaspersky alerta que a campanha é particularmente perigosa devido ao foco em servidores expostos à internet, que são alvos atrativos para ameaças persistentes avançadas (APTs).

Pesquisadores da Socket identificaram uma campanha de spamware que afeta usuários brasileiros do WhatsApp Web, envolvendo 131 extensões maliciosas do Google Chrome. Essas extensões, que compartilham o mesmo código-fonte e design, têm como objetivo contornar as restrições de envio de mensagens da plataforma, permitindo o envio em massa de spam. Com cerca de 20.905 usuários ativos, as extensões se disfarçam como ferramentas de automação para ajudar empresas a maximizar vendas. A campanha está em operação há pelo menos nove meses, com atualizações frequentes. A DBX Tecnologia, responsável pela extensão original, oferece um programa white-label que permite rebranding e revenda das extensões, prometendo lucros significativos. Essa prática viola as políticas da Chrome Web Store e levanta preocupações sobre a segurança e privacidade dos usuários, especialmente em relação à conformidade com a LGPD. Além disso, a Socket alerta que a DBX Tecnologia também promove vídeos que ensinam a burlar os algoritmos anti-spam do WhatsApp.

Pesquisadores da empresa de segurança cibernética Solo Iron, no Brasil, desmontaram uma campanha de malware conhecida como Maverick, que se espalha pelo WhatsApp Web. O vírus, que opera como um trojan, infecta computadores e rouba dados bancários. A investigação revelou que a operação dos hackers começou em 1º de outubro e utilizava técnicas de engenharia social para disseminar arquivos maliciosos disfarçados de documentos financeiros. O malware, que funciona na memória da máquina, evita a detecção por antivírus tradicionais ao não gravar arquivos em disco. A equipe da Solo Iron conseguiu acessar a infraestrutura dos cibercriminosos, revelando a escala da operação e os domínios envolvidos. O ataque é caracterizado por um alto nível de automação e permite que os criminosos monitorem a disseminação do trojan através de um painel administrativo. A análise detalhada do malware e suas implicações estão disponíveis no blog da Solo Iron.

Uma vulnerabilidade crítica de execução remota de código foi identificada na edição on-premise do LANSCOPE Endpoint Manager, permitindo que atacantes não autenticados executem comandos arbitrários com altos privilégios nos sistemas afetados. A falha, rastreada como CVE-2025-61932, afeta tanto o Programa Cliente (MR) quanto o Agente de Detecção (DA) nas versões 9.4.7.1 e anteriores. Pesquisadores de segurança descobriram que pacotes de rede especialmente elaborados podem acionar um erro severo no cliente MR e no agente DA, contornando todos os requisitos de interação do usuário, como cliques ou abertura de e-mails. Tentativas de exploração no mundo real já foram observadas, tornando a aplicação de patches urgente. A edição on-premise é a única afetada, enquanto a edição em nuvem permanece segura. Um patch já está disponível no portal de suporte oficial da LANSCOPE, e é crucial que todas as máquinas que executam a edição on-premise sejam atualizadas imediatamente para mitigar o risco de exploração.

O Apache Syncope revelou uma vulnerabilidade crítica, identificada como CVE-2025-57738, que permite que administradores autenticados executem código arbitrário em sistemas afetados. Essa falha afeta todas as versões do Apache Syncope 3.x anteriores à 3.0.14 e 4.x anteriores à 4.0.2, expondo as organizações a riscos significativos de comprometimento do sistema por meio da injeção de código Groovy malicioso.

A vulnerabilidade reside na implementação personalizada do Syncope, que permite que administradores estendam a funcionalidade central ao enviar código Java ou Groovy. Enquanto as extensões Java requerem arquivos JAR pré-compilados, os scripts Groovy podem ser enviados como código-fonte simples e compilados em tempo de execução, sem restrições de segurança. Isso significa que qualquer administrador com permissão para criar ou atualizar implementações Groovy pode injetar scripts que o servidor executa com privilégios totais.

Uma nova investigação da equipe de pesquisa de ameaças da Sekoia.io trouxe à tona a função do campo UserAuthenticationMethod nos logs de auditoria do Microsoft 365. Este campo, que antes era uma incógnita, é na verdade um bitfield que representa diferentes métodos de autenticação, permitindo uma análise mais clara dos eventos de login na plataforma. A pesquisa revelou que valores numéricos como 16, 272 ou 33554432 correspondem a métodos específicos de autenticação, como ‘Senha na Nuvem’ e ‘Login sem Senha’. Essa descoberta é crucial para analistas de segurança, pois permite monitorar a adoção de métodos de autenticação mais seguros e identificar fraquezas nas práticas de login. A equipe da Sekoia conseguiu mapear esses métodos ao correlacionar logs do Microsoft 365 com logs de login do Microsoft Entra ID, decifrando a lógica binária por trás dos valores. A decodificação do bitfield não só fecha uma lacuna significativa na visibilidade para os respondentes a incidentes, mas também destaca a evolução contínua das tecnologias de autenticação da Microsoft, com bits ainda não mapeados indicando futuras inovações. Essa pesquisa é um chamado para que os defensores contribuam com novas descobertas, fortalecendo o entendimento coletivo sobre a telemetria de autenticação do Microsoft 365.

O Luma Infostealer, um malware sofisticado, está ressurgindo como uma ameaça cibernética significativa, focando em credenciais de alto valor e ativos sensíveis em sistemas Windows. Distribuído através de um modelo de Malware-as-a-Service (MaaS), permite que até mesmo atacantes com pouca habilidade realizem campanhas complexas de roubo de dados. O malware é frequentemente disseminado em campanhas de phishing disfarçadas como softwares piratas, hospedados em plataformas legítimas como o MEGA Cloud, para evitar detecções. Ao ser executado, o Luma realiza uma decriptação em múltiplas etapas e injeção de processos para ativar seu payload, ocultando seu comportamento de soluções antivírus tradicionais.

A inteligência artificial (IA) tem um grande potencial para aprimorar a defesa cibernética, facilitando o trabalho dos profissionais de segurança. Ela pode ajudar a reduzir a fadiga de alertas, identificar padrões rapidamente e escalar operações de segurança de forma que os analistas humanos não conseguem. No entanto, a adoção de IA também amplia a superfície de ataque das organizações, exigindo governança clara, controles de identidade robustos e visibilidade nas decisões tomadas pela IA. Para garantir a segurança, é fundamental estabelecer confiança nos dados que a IA utiliza, responsabilidade pelas ações que executa e supervisão dos resultados que produz. O artigo destaca a importância de tratar sistemas de IA como identidades críticas dentro do gerenciamento de identidade e acesso (IAM), aplicando controles rigorosos como credenciais limitadas, autenticação forte e monitoramento contínuo. Além disso, sugere práticas recomendadas para proteger modelos de IA, incluindo controles de acesso, validação de dados e segurança na inferência. A integração responsável da IA nas operações de segurança pode permitir que as equipes trabalhem de maneira mais inteligente e eficaz, mas é essencial encontrar um equilíbrio entre automação e supervisão humana.

Pesquisadores em cibersegurança identificaram o malware PolarEdge, um botnet que visa roteadores de marcas como Cisco, ASUS, QNAP e Synology. Documentado pela primeira vez em fevereiro de 2025, o PolarEdge utiliza uma falha de segurança conhecida (CVE-2023-20118) para se infiltrar nos dispositivos, baixando um script shell que executa um backdoor. Este backdoor, implementado em ELF e baseado em TLS, monitora conexões de clientes e pode executar comandos recebidos de um servidor de comando e controle (C2). PolarEdge opera em dois modos: um modo de conexão reversa e um modo de depuração, permitindo modificações em sua configuração. Além disso, o malware emprega técnicas de anti-análise para ocultar suas operações e não garante persistência após reinicializações, embora utilize processos filhos para reativar-se. A descoberta do PolarEdge é relevante, especialmente considerando a crescente integração de dispositivos IoT e a vulnerabilidade de roteadores, que são alvos comuns de ataques. A situação é agravada pela possibilidade de que o malware tenha começado a operar desde junho de 2023, indicando um período prolongado de atividade maliciosa.

No dia 21 de outubro de 2025, a Meta anunciou novas ferramentas para proteger os usuários do Messenger e do WhatsApp contra possíveis fraudes. No WhatsApp, serão introduzidos avisos quando os usuários tentarem compartilhar a tela com contatos desconhecidos durante chamadas de vídeo, prevenindo a exposição de informações sensíveis, como dados bancários e códigos de verificação. No Messenger, uma nova configuração chamada ‘Detecção de Fraudes’ permitirá que os usuários recebam alertas sobre mensagens suspeitas de contatos desconhecidos. A detecção ocorre no dispositivo do usuário, garantindo que as conversas com criptografia de ponta a ponta permaneçam seguras. Caso uma mensagem seja identificada como potencialmente fraudulenta, os usuários poderão optar por enviar as mensagens para uma revisão por inteligência artificial, embora isso desative a criptografia. A Meta também relatou ter tomado medidas contra mais de 21 mil páginas e contas no Facebook que se passavam por suporte ao cliente, além de ter desativado cerca de 8 milhões de contas associadas a centros de fraudes. Esses esquemas, frequentemente relacionados a fraudes de investimento, manipulam emocionalmente as vítimas, levando-as a perder grandes quantias de dinheiro. A empresa continua a trabalhar para combater esses crimes, especialmente aqueles que visam populações vulneráveis, como os idosos.

Em outubro de 2025, pesquisadores da Kaspersky identificaram um ataque sofisticado à cadeia de suprimentos que visava o ecossistema npm, utilizando um pacote malicioso chamado https-proxy-utils. Este pacote se disfarçava como uma ferramenta de proxy legítima, mas tinha como objetivo entregar o AdaptixC2, um framework de pós-exploração que começou a ser observado em campanhas maliciosas desde a primavera de 2025. Os atacantes usaram uma técnica clássica de typosquatting, criando um nome de pacote que se assemelhava a pacotes npm populares e legítimos, como http-proxy-agent e https-proxy-agent, que recebem milhões de downloads semanalmente. O pacote malicioso incluía um script pós-instalação que baixava e executava automaticamente o agente AdaptixC2, adaptando-se a diferentes sistemas operacionais, como Windows, Linux e macOS. Uma vez instalado, o AdaptixC2 oferece aos atacantes acesso remoto, execução de comandos e gerenciamento de arquivos, permitindo que mantenham acesso contínuo a sistemas comprometidos. Este incidente destaca a crescente ameaça de ataques à cadeia de suprimentos em ecossistemas de software de código aberto, exigindo que organizações e desenvolvedores verifiquem cuidadosamente os nomes dos pacotes antes da instalação.

Entre maio e agosto de 2025, o grupo de ameaça persistente avançada (APT) conhecido como Cavalry Werewolf, também rastreado como YoroTrooper e Silent Lynx, conduziu uma campanha de ciberataques sofisticada, visando o setor público e a infraestrutura crítica da Rússia. As indústrias de energia, mineração e manufatura foram os principais alvos, com o uso de malwares personalizados, como FoalShell e StallionRAT, através de operações de spear-phishing altamente direcionadas, disfarçadas como correspondências oficiais do governo.

O malware GlassWorm representa uma nova ameaça no cenário de ataques à cadeia de suprimentos, sendo o primeiro worm a atacar extensões do VS Code no marketplace OpenVSX. Detectado inicialmente na ferramenta de produtividade CodeJoy, o malware utiliza caracteres especiais de Unicode que aparecem como espaços em branco, tornando o código invisível tanto para revisores humanos quanto para ferramentas de análise automática. Após a instalação, o GlassWorm coleta credenciais sensíveis, como tokens do NPM e credenciais do GitHub, além de escanear extensões de carteiras de criptomoedas para drenar fundos. O malware opera com uma infraestrutura de comando e controle descentralizada, utilizando a blockchain Solana para comunicação, o que torna sua remoção extremamente difícil. Além disso, ele emprega eventos do Google Calendar para garantir a persistência de sua operação. Com mais de 35 mil instalações detectadas, o GlassWorm exemplifica os riscos exponenciais que os worms modernos representam para desenvolvedores e usuários. A situação exige atenção redobrada das equipes de segurança, especialmente em um ambiente onde a revisão de código se mostrou insuficiente para detectar tais ameaças.

Um novo e sofisticado kit de ferramentas de ransomware, chamado Monolock, foi identificado em fóruns da dark web, gerando preocupação nas comunidades de cibersegurança. Este ransomware é projetado para campanhas de ataque rápidas e automatizadas, apresentando capacidades técnicas avançadas. O Monolock oferece um pacote completo para operações de ransomware, incluindo módulos para automação de comando e controle, escalonamento de privilégios e técnicas de evasão persistente. Além disso, possui ferramentas para deletar cópias de sombra em sistemas-alvo, dificultando estratégias comuns de recuperação de desastres. O kit também conta com recursos anti-análise que evitam a execução em ambientes de segurança. Os operadores do Monolock estão recrutando afiliados com experiência em implantação de malware, oferecendo um programa de afiliados que inclui taxas de registro e uma divisão de lucros. A emergência do Monolock se alinha com a tendência de ransomware como serviço (RaaS), permitindo que grupos criminosos menores tenham acesso a ferramentas avançadas. Especialistas em segurança recomendam que as organizações monitorem indicadores de comprometimento relacionados ao Monolock e mantenham backups offline para se protegerem contra essa nova ameaça.

Um grupo de ciberespionagem vinculado à China, conhecido como Salt Typhoon, atacou uma organização de telecomunicações na Europa na primeira semana de julho de 2025. Os invasores exploraram uma vulnerabilidade em um dispositivo Citrix NetScaler Gateway para obter acesso inicial. Salt Typhoon, ativo desde 2019, é conhecido por suas táticas de persistência e exfiltração de dados sensíveis em mais de 80 países, incluindo os EUA. Durante o ataque, os hackers utilizaram o Citrix Virtual Delivery Agent (VDA) para se mover lateralmente na rede da vítima, além de empregar o SoftEther VPN para ocultar suas origens. Um dos malwares utilizados foi o Snappybee, que se aproveita de uma técnica chamada DLL side-loading, onde arquivos DLL maliciosos são carregados junto a executáveis legítimos de software antivírus. A atividade maliciosa foi identificada e mitigada antes que pudesse causar danos maiores. A natureza furtiva e a capacidade de reutilizar ferramentas confiáveis tornam o Salt Typhoon um adversário desafiador para as defesas cibernéticas.

Pesquisadores de cibersegurança da Socket descobriram uma campanha sofisticada de spam que envolve 131 extensões do Chrome, direcionadas a usuários do WhatsApp. Essas extensões, que compartilham códigos e infraestrutura idênticos, afetam pelo menos 20.905 usuários ativos, violando as políticas do Chrome Web Store e do WhatsApp. A operação é conduzida pela DBX Tecnologia, uma empresa brasileira que licencia versões personalizadas das extensões para revendedores, prometendo margens de lucro significativas. Apesar da diversidade de marcas, todas as extensões foram publicadas por apenas duas contas de desenvolvedor. As extensões utilizam métodos técnicos avançados para injetar código malicioso na interface do WhatsApp Web, permitindo o envio automatizado de mensagens em massa, o que contraria as políticas de consentimento do WhatsApp. A Socket já solicitou a remoção das extensões e a suspensão das contas dos desenvolvedores. A empresa recomenda que organizações adotem ferramentas de proteção para extensões do Chrome e monitorem as permissões e atualizações das extensões em uso.

O Gabinete de Segurança Institucional (GSI) do Brasil anunciou um acordo com a Amazon para a hospedagem de dados governamentais, incluindo informações classificadas e sigilosas, na Amazon Web Services (AWS). A nova normativa, que substitui uma proibição anterior de 2021, permite que dados sejam armazenados em nuvens de empresas privadas, desde que os data centers estejam localizados no Brasil. Especialistas levantam preocupações sobre a segurança e a soberania dos dados, citando legislações americanas, como o Cloud Act, que podem exigir que empresas entreguem dados sob ordens judiciais, mesmo que estejam fora dos EUA. A AWS, por sua vez, afirma que os clientes têm controle total sobre seus dados e que não pode acessá-los sem autorização. A Agência Nacional de Proteção de Dados (ANPD) não participou da elaboração do acordo, mas poderá intervir para garantir a conformidade com a legislação brasileira. Além disso, um recente apagão nos servidores da AWS levantou questões sobre a confiabilidade do serviço, o que poderia afetar a segurança de informações sensíveis do governo brasileiro.

Um novo relatório do Cofense Phishing Defense Center revela que criminosos estão explorando a confiança que os usuários depositam na marca Microsoft para realizar fraudes. A campanha começa com um e-mail que simula uma comunicação legítima de uma empresa, como uma locadora de veículos, prometendo um reembolso. Ao clicar no link, o usuário é redirecionado para uma página falsa que imita um sistema de verificação CAPTCHA. Essa etapa visa enganar ferramentas de segurança automatizadas e criar uma sensação de autenticidade.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou cinco falhas de segurança ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), incluindo uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). A falha CVE-2025-61884, com uma pontuação CVSS de 7.5, é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) que permite acesso não autorizado a dados críticos sem necessidade de autenticação. Além disso, a CISA destacou a CVE-2025-61882, uma falha crítica com pontuação CVSS de 9.8, que permite a execução de código arbitrário por atacantes não autenticados. Ambas as vulnerabilidades estão sendo ativamente exploradas em ataques reais, afetando diversas organizações. Outras vulnerabilidades listadas incluem falhas em Microsoft Windows e Kentico Xperience CMS, que também apresentam riscos significativos. As agências federais dos EUA devem corrigir essas vulnerabilidades até 10 de novembro de 2025 para proteger suas redes contra ameaças ativas.

Recentemente, usuários de gerenciadores de senhas, como LastPass e Bitwarden, estão sendo alvo de uma nova campanha de phishing. Os golpistas enviam e-mails fraudulentos que se passam por atualizações de segurança dos aplicativos, mas na verdade, contêm um software malicioso que permite o acesso remoto aos dados da vítima. Embora as empresas tenham confirmado que não sofreram invasões, a engenharia social utilizada pelos hackers tem se tornado cada vez mais sofisticada, tornando as mensagens mais convincentes. Além disso, a Cloudflare, uma empresa de segurança cibernética, bloqueou alguns links maliciosos, ajudando a proteger os usuários. Para evitar cair nesse tipo de golpe, recomenda-se não abrir links de e-mails suspeitos e sempre verificar diretamente no site oficial do serviço. A desconfiança é fundamental para se proteger contra essas ameaças.

Pesquisadores da Universidade da Califórnia revelaram uma vulnerabilidade intrigante que transforma mouses ópticos em dispositivos de escuta. Denominada ‘Mic-E-Mouse’, essa prova de conceito demonstra que mouses podem captar vibrações sonoras mínimas da superfície onde estão posicionados. Utilizando softwares variados, incluindo programas sem privilégios e extensões de navegador, é possível converter essas vibrações em áudio compreensível. O processo é realizado através de técnicas avançadas de filtragem estatística e redes neurais, permitindo que palavras faladas sejam extraídas com clareza.

Uma pesquisa realizada pelo Reclame AQUI revelou que 63% dos consumidores brasileiros não conseguem identificar golpes digitais que utilizam inteligência artificial (IA), uma vulnerabilidade preocupante especialmente com a aproximação da Black Friday. O estudo, que ouviu mais de 3.300 pessoas, destaca que 79% dos entrevistados planejam comprar online durante a Black Friday, mas apenas 43% verificam links e ofertas com ferramentas de segurança. A pesquisa também aponta que 20% dos consumidores já foram vítimas de fraudes em edições anteriores do evento. O uso crescente de IA por cibercriminosos para criar campanhas de phishing mais sofisticadas torna essencial que os consumidores estejam informados e preparados. O relatório, intitulado “Black Friday na era da Inteligência Artificial”, serve como um guia tanto para consumidores quanto para marcas, enfatizando a importância da segurança nas compras online.

Na madrugada de 20 de outubro de 2025, a Amazon Web Services (AWS) sofreu uma queda massiva que afetou a infraestrutura digital global. O problema começou por volta de 12h11 PDT, com falhas no serviço de banco de dados DynamoDB, que rapidamente se espalharam para outros serviços essenciais como EC2 e S3. Isso resultou em interrupções em plataformas populares como Snapchat, Amazon Prime Video e Canva, deixando milhões de usuários sem acesso a seus aplicativos e serviços. A AWS, que detém cerca de um terço do mercado global de nuvem, enfrentou críticas sobre a fragilidade da centralização de sua infraestrutura. Embora a empresa tenha declarado que o problema foi resolvido ao meio-dia, o impacto da queda ainda era sentido, com usuários relatando lentidão em serviços e gerando discussões sobre a necessidade de diversificação entre provedores de nuvem. A falha foi atribuída a um problema de resolução de DNS, que cortou a conexão entre os clientes e os gateways da AWS, evidenciando a vulnerabilidade de depender de um único provedor para operações críticas. O incidente levantou preocupações sobre a segurança e a resiliência das infraestruturas digitais, especialmente em setores críticos como saúde e finanças.

Pesquisadores de cibersegurança descobriram uma campanha coordenada que utiliza 131 extensões clonadas do WhatsApp Web para Google Chrome, visando usuários brasileiros. Essas extensões, que compartilham o mesmo código e design, têm cerca de 20.905 usuários ativos e funcionam como spamware, automatizando o envio de mensagens em massa para contornar as regras de anti-spam do WhatsApp. A campanha está em andamento há pelo menos nove meses, com atualizações recentes observadas em outubro de 2025. As extensões, que se apresentam como ferramentas de gerenciamento de relacionamento com clientes (CRM), são publicadas principalmente por uma entidade chamada ‘WL Extensão’. A prática viola as políticas do Chrome Web Store, que proíbem a submissão de múltiplas extensões com funcionalidades duplicadas. Além disso, a empresa DBX Tecnologia, responsável pela extensão original, promove um programa de revenda que permite a rebranding das extensões, incentivando a proliferação de clones. Essa situação levanta preocupações sobre a segurança e a privacidade dos usuários, especialmente em um contexto onde o WhatsApp é amplamente utilizado no Brasil.

Os ataques ClickFix, que envolvem a interação do usuário com scripts maliciosos no navegador, estão se tornando uma fonte crescente de violações de segurança. Esses ataques geralmente solicitam que os usuários resolvam um problema, como um CAPTCHA, mas na verdade induzem a execução de comandos maliciosos ao copiar código da página para o dispositivo do usuário. Grupos de ransomware, como o Interlock, têm utilizado essas táticas, que já estão ligadas a várias violações de dados em instituições como Kettering Health e Texas Tech University.

Recentes incidentes de cibersegurança revelam que brechas silenciosas estão se tornando comuns, com atacantes permanecendo nas redes por longos períodos sem serem detectados. Um dos casos mais alarmantes envolve a F5, que anunciou a violação de seus sistemas por atores desconhecidos, resultando no roubo de códigos fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas. Acredita-se que os atacantes, associados a um grupo de espionagem da China, estavam ativos na rede da F5 por pelo menos 12 meses.

A NordVPN realizou uma ação impactante em Times Square, onde três hackers éticos interagiram com o público para desmistificar a segurança online. A campanha surgiu após uma pesquisa alarmante que revelou que 73% dos americanos acreditam que seus softwares antivírus os protegem de roubo de identidade e garantem privacidade online. No entanto, os especialistas destacaram que o papel principal dos antivírus é proteger dispositivos contra malware, e não garantir segurança total na internet. Durante a ação, os hackers mostraram aos participantes como seus dados pessoais, como senhas e endereços, estavam expostos online, gerando surpresa e choque. A NordVPN enfatizou que, embora uma VPN não seja uma solução mágica, é uma ferramenta essencial para minimizar a pegada digital e aumentar a segurança, especialmente ao usar redes Wi-Fi públicas. A empresa também disponibiliza um monitor de dark web para ajudar os usuários a verificar se seus dados estão expostos. A campanha visa alertar sobre a falsa sensação de segurança que muitos têm em relação à proteção online.

No último domingo, a China acusou a Agência de Segurança Nacional dos EUA (NSA) de realizar um ataque cibernético premeditado contra o Centro Nacional de Serviço de Tempo (NTSC), descrevendo os EUA como um “império hacker”. O Ministério da Segurança do Estado (MSS) afirmou ter encontrado “provas irrefutáveis” da participação da NSA em uma intrusão que teria ocorrido em 25 de março de 2022, embora o ataque tenha sido frustrado. O NTSC, responsável pela manutenção do horário padrão nacional, poderia ter sofrido consequências severas, como falhas em comunicações e interrupções em sistemas financeiros, caso o ataque tivesse sucesso. Segundo o MSS, a NSA teria explorado falhas de segurança em um serviço de SMS de uma marca estrangeira para comprometer dispositivos móveis de funcionários do NTSC, resultando no roubo de dados sensíveis. Além disso, a agência americana teria utilizado credenciais de login roubadas para acessar os computadores do NTSC e implementar uma nova plataforma de “guerra cibernética” entre agosto de 2023 e junho de 2024, ativando 42 ferramentas especializadas para ataques intensos. O MSS também acusou os EUA de realizar ataques cibernéticos persistentes contra diversos países, incluindo a China, e de distorcer a narrativa sobre a “ameaça cibernética chinesa”.

O Grupo Volkswagen confirmou que está investigando alegações do grupo de ransomware 8Base, que afirma ter roubado e vazado dados sensíveis da montadora alemã. Embora a empresa assegure que sua infraestrutura de TI principal permanece segura, a natureza vaga da resposta gerou preocupações sobre uma possível violação de dados de terceiros. O grupo 8Base, conhecido por suas táticas de extorsão dupla, alegou ter exfiltrado arquivos confidenciais em 23 de setembro de 2024, ameaçando divulgar os dados até 26 de setembro. Embora o prazo inicial tenha passado sem vazamentos, 8Base listou as informações roubadas em sua plataforma na dark web. Os dados comprometidos incluem faturas, documentos contábeis, arquivos pessoais de funcionários e contratos de trabalho. Se confirmada, essa violação pode expor informações financeiras e pessoais sensíveis em operações globais da Volkswagen, afetando marcas renomadas como Audi e Porsche. Especialistas em cibersegurança destacam a necessidade urgente de aprimorar a gestão de riscos de terceiros, uma vez que ataques modernos frequentemente exploram vulnerabilidades em parceiros da cadeia de suprimentos.

No dia 19 de outubro de 2025, a Europol anunciou a desarticulação de uma plataforma sofisticada de cibercrime como serviço (CaaS), conhecida como Operation SIMCARTEL. A operação resultou em 26 buscas e na prisão de sete suspeitos, incluindo cinco cidadãos letões. Foram apreendidos 1.200 dispositivos de SIM box, que continham 40.000 cartões SIM ativos, além de cinco servidores e dois sites que promoviam o serviço. A operação envolveu autoridades de países como Áustria, Estônia, Finlândia e Letônia, e revelou que a rede criminosa estava ligada a mais de 1.700 casos de fraudes cibernéticas na Áustria e 1.500 na Letônia, totalizando perdas de cerca de €4,5 milhões e €420.000, respectivamente. A infraestrutura da plataforma permitia a criação de números de telefone registrados em mais de 80 países, facilitando atividades criminosas como phishing, fraudes financeiras e extorsão. Além disso, a plataforma promovia a monetização de cartões SIM, atraindo usuários com promessas de renda passiva. A operação destaca a crescente complexidade e sofisticação das redes de cibercrime, que utilizam tecnologias avançadas para ocultar identidades e realizar fraudes em larga escala.

O spoofing é uma técnica de ciberataque que consiste em imitar a identidade de uma pessoa ou sistema para enganar vítimas. Essa prática é comumente utilizada em ataques de phishing e engenharia social, onde hackers se passam por indivíduos confiáveis, como superiores ou instituições conhecidas, para roubar dados pessoais e financeiros. Existem várias modalidades de spoofing, incluindo spoofing de e-mail, IP, DNS, ARP e URL. Cada uma dessas táticas tem suas particularidades, mas todas visam enganar a vítima e facilitar o acesso a informações sensíveis ou a instalação de malwares. Para se proteger, é essencial que os usuários verifiquem cuidadosamente os remetentes de e-mails, evitem clicar em links suspeitos e utilizem autenticação de dois fatores sempre que possível. Além disso, empresas devem implementar políticas de segurança, como SPF, DKIM e DMARC, e treinar seus funcionários para reconhecer tentativas de spoofing. Casos reais, como a fraude do CEO que resultou na perda de milhões pela Ubiquiti, demonstram a gravidade e o impacto potencial desses ataques. Portanto, a conscientização e a adoção de medidas preventivas são fundamentais para mitigar os riscos associados ao spoofing.

Pesquisadores de cibersegurança identificaram uma nova campanha maliciosa que visa os setores automotivo e de e-commerce na Rússia, utilizando um malware .NET inédito chamado CAPI Backdoor. A análise da Seqrite Labs revela que a infecção é desencadeada por e-mails de phishing que contêm um arquivo ZIP. Dentro deste arquivo, há um documento em russo que finge ser uma notificação sobre legislação tributária e um arquivo de atalho do Windows (LNK) que executa o malware.

O grupo de cibercrime conhecido como Silver Fox, associado ao malware Winos 4.0, ampliou suas operações, agora mirando Japão e Malásia, além de China e Taiwan. A nova variante, chamada HoldingHands RAT, é distribuída por meio de e-mails de phishing que contêm PDFs com links maliciosos, disfarçados como documentos oficiais do Ministério das Finanças. O Winos 4.0 é frequentemente disseminado via phishing e técnicas de SEO, levando usuários a sites falsos que imitam softwares populares. Recentemente, a Fortinet identificou campanhas que utilizam documentos de Excel relacionados a impostos como isca para infectar sistemas. O HoldingHands RAT é projetado para se conectar a servidores remotos, capturar informações sensíveis e executar comandos do atacante. A complexidade do ataque é aumentada por técnicas de evasão que dificultam a detecção, como a desativação de softwares de segurança. A situação é preocupante, pois a exfiltração de dados pode resultar em espionagem cibernética e roubo de identidade, representando uma ameaça significativa para a infraestrutura organizacional e a privacidade individual.

Pesquisadores da FortiGuard Labs alertam sobre um novo malware chamado Stealit, que opera como um serviço comercial de roubo de dados. Este vírus, direcionado principalmente a usuários do Windows, é capaz de assumir o controle do computador da vítima, capturando informações sensíveis, como senhas e dados pessoais. O Stealit utiliza uma ferramenta chamada Single Executable Application (SEA), que permite que todos os arquivos maliciosos sejam compactados em um único programa, facilitando sua execução mesmo em sistemas sem Node.js instalado.

Pesquisadores identificaram um aumento nas táticas sofisticadas de cadeia de suprimentos do grupo WaterPlum, vinculado à Coreia do Norte, especificamente sua Cluster B, que ampliou a distribuição do malware OtterCandy por meio da campanha ClickFake Interview no Japão e em outras regiões. Desde julho de 2025, a Cluster B mudou seu foco para um RAT (Remote Access Trojan) baseado em Node.js, chamado OtterCandy, que combina recursos de ferramentas anteriores e permite a exfiltração de dados de forma mais eficiente. O malware se conecta a um servidor de comando e controle (C2) via Socket.IO, transmitindo informações do sistema e coletando credenciais de navegadores, arquivos de carteiras de criptomoedas e documentos do usuário. A versão 2 do OtterCandy introduziu melhorias significativas, como a coleta de dados completos de perfis de navegadores e um comando que apaga vestígios de sua presença. Organizações no Japão e em regiões afetadas devem reforçar suas regras de detecção de endpoints e monitorar atividades suspeitas relacionadas ao Node.js. A evolução do OtterCandy representa um ponto crítico nas operações de atores de ameaças da Coreia do Norte, exigindo vigilância reforçada em controles de segurança de cadeia de suprimentos e endpoints.

Cibercriminosos estão utilizando vídeos do TikTok para disseminar malware sofisticado através de uma campanha de engenharia social que promete ativação gratuita de softwares, como o Photoshop. Pesquisadores de segurança identificaram diversos vídeos na plataforma, alguns com mais de 500 curtidas, que atraem vítimas com promessas de ativação gratuita. O ataque utiliza uma cadeia de infecção em múltiplas etapas, entregando o AuroStealer, um malware projetado para roubar informações sensíveis. A campanha instrui as vítimas a executar um comando PowerShell que baixa e executa um script malicioso. Este script, com uma pontuação de detecção de 17/63 no VirusTotal, baixa um segundo payload, o updater.exe, que é identificado como AuroStealer. O malware se torna persistente através de tarefas agendadas que se disfarçam como serviços legítimos do Windows. Além disso, uma técnica avançada de auto-compilação é utilizada, onde o código malicioso é compilado diretamente na máquina da vítima, dificultando a detecção por soluções antivírus. Pesquisadores descobriram vídeos adicionais promovendo ferramentas de ativação falsas para outros softwares populares, alertando os usuários a não executarem comandos PowerShell de fontes não confiáveis e a manterem suas proteções atualizadas.

O novo trojan bancário chamado Maverick está atacando usuários brasileiros, infectando computadores através de arquivos de atalho do Windows e se espalhando pelo WhatsApp Web. A Kaspersky, que identificou a ameaça, bloqueou mais de 62 mil tentativas de ataque apenas em outubro de 2025. O vírus verifica se a vítima está no Brasil, utilizando informações como fuso horário e idioma do sistema, antes de prosseguir com a infecção. Uma vez instalado, o Maverick tem a capacidade de monitorar o que o usuário digita, tirar capturas de tela e acessar informações de 26 bancos e 6 corretoras de criptomoedas. A infecção ocorre na memória do computador, dificultando a detecção por ferramentas de segurança. O trojan utiliza criptografia AES-256 para ocultar suas operações, indicando uma possível continuidade de campanhas maliciosas anteriores. Para se proteger, recomenda-se desconfiar de arquivos recebidos pelo WhatsApp, evitar clicar em arquivos de atalho de fontes não confiáveis e utilizar aplicativos de segurança.

Em outubro de 2025, a Nintendo confirmou que seus servidores foram alvo de um ataque do grupo cibercriminoso Crimson Collective, que resultou no vazamento de informações sobre projetos em desenvolvimento, incluindo detalhes da franquia Pokémon. A empresa declarou que a brecha foi ‘mínima’ e se limitou a servidores que hospedam seus sites oficiais, sem a exposição de dados pessoais ou informações sensíveis. No entanto, o vazamento inclui arquivos e vídeos de gameplay de versões iniciais de Pokémon Legends Z-A, que teriam origem em uma invasão anterior aos servidores da desenvolvedora Game Freak. Este incidente é parte de uma série de ataques que a Nintendo tem enfrentado, incluindo o notório Teraleak, que já havia exposto dados de projetos passados. A empresa continua a investigar esses incidentes, mas não conseguiu identificar os responsáveis até o momento. A situação levanta preocupações sobre a segurança dos dados e a proteção de informações sensíveis no setor de jogos, especialmente em um contexto onde a privacidade e a conformidade com legislações como a LGPD são cada vez mais relevantes.

Pesquisadores do Centro de Defesa Contra Phishing Cofense alertam sobre um novo golpe que simula ser o suporte da Microsoft, bloqueando o acesso ao navegador e solicitando que a vítima entre em contato com um número de telefone. O ataque começa com um e-mail de phishing que oferece um reembolso falso, levando a um CAPTCHA para evitar detecções automáticas. Em seguida, uma página pop-up imita alertas de segurança da Microsoft, fazendo o usuário acreditar que seu computador foi comprometido. Para resolver a situação, é solicitado que a vítima ligue para um número, onde um falso técnico de suporte pode solicitar credenciais ou induzir a instalação de ferramentas de acesso remoto. Este golpe é um exemplo claro de engenharia social, utilizando a confiança que os usuários têm em grandes marcas. É importante que os usuários estejam cientes de que a Microsoft nunca trancaria um navegador ou pediria que ligassem para um suporte através de um pop-up. A recomendação é sempre desconfiar de comunicações desse tipo.

Um recente relatório do Google Threat Intelligence Group (GTIG) revelou que mais de 14.000 sites WordPress foram comprometidos por um grupo de hackers conhecido como UNC5142, que operou entre o final de 2023 e julho de 2025. Este grupo utilizou vulnerabilidades em plugins e temas para implantar um downloader JavaScript chamado CLEARSHOT, que facilitava a distribuição de malware. O uso de tecnologia blockchain para armazenar partes da infraestrutura do ataque aumentou a resiliência do grupo e dificultou as operações de remoção. O malware era distribuído através de páginas de phishing que induziam os usuários a executar comandos maliciosos em seus sistemas, utilizando a técnica de engenharia social chamada ClickFix. As páginas de destino eram frequentemente hospedadas em servidores da Cloudflare e acessadas em formato criptografado, complicando ainda mais a detecção e mitigação do ataque. A combinação de técnicas de ofuscação e a utilização de blockchain tornam este incidente um alerta significativo para a segurança cibernética, especialmente para organizações que utilizam WordPress.

O relatório Digital Defense Report 2025 da Microsoft revela que a motivação financeira continua a dominar o cenário global de ameaças cibernéticas, com 52% dos ataques analisados relacionados a extorsão e ransomware. O documento, assinado pelo Chief Information Security Officer da Microsoft, Igor Tsyganskiy, destaca que 80% dos incidentes investigados estavam ligados ao roubo de dados, evidenciando que os cibercriminosos priorizam o lucro em vez da espionagem. A pesquisa também enfatiza o uso crescente de inteligência artificial (IA) em ciberataques, permitindo que até mesmo atores de baixo nível escalem operações maliciosas. A Microsoft processa mais de 100 trilhões de sinais de segurança diariamente, bloqueando cerca de 4,5 milhões de tentativas de malware e analisando 5 bilhões de e-mails para detectar phishing. A automação e a IA mudaram drasticamente a dinâmica dos ataques, com criminosos utilizando modelos de aprendizado de máquina para descobrir vulnerabilidades rapidamente e gerar malware polimórfico. O relatório também menciona o aumento das ameaças de atores estatais, especialmente da China, Irã, Rússia e Coreia do Norte, que estão explorando vulnerabilidades recém-divulgadas com rapidez. A Microsoft recomenda que as organizações integrem a segurança em suas estratégias de negócios e adotem modelos de defesa impulsionados por IA para enfrentar essas ameaças.

O MSIX, padrão de embalagem de aplicativos do Windows, que prometia segurança e flexibilidade, agora se tornou um alvo para operações de malware. A combinação de containerização e assinatura digital está sendo explorada por criminosos que oferecem pacotes maliciosos como um serviço. Esses pacotes, que parecem legítimos, são distribuídos através de campanhas de malvertising e engenharia social, enganando usuários a baixá-los. Os atacantes utilizam certificados assinados por desenvolvedores, permitindo que os pacotes maliciosos evitem a detecção por ferramentas de segurança. Uma vez instalados, esses pacotes podem executar scripts e invocar PowerShell, dificultando a visibilidade e a investigação forense. Para combater essa ameaça, a comunidade de segurança está desenvolvendo novas abordagens de detecção e ambientes de teste controlados, como a ferramenta MSIXBuilder da Splunk, que permite simular ataques sem expor redes a malware real. A análise detalhada dos logs de eventos do Windows é essencial para identificar atividades suspeitas e proteger as organizações contra essas novas táticas de ataque.

Um grupo de hackers da Coreia do Norte, associado à campanha Contagious Interview, está aprimorando suas ferramentas de malware, conforme revelado por novas investigações da Cisco Talos. As funcionalidades dos malwares BeaverTail e OtterCookie estão se aproximando, com o OtterCookie agora incorporando um módulo para keylogging e captura de telas. Essa atividade é parte de uma campanha de recrutamento fraudulenta que começou em 2022, onde os atacantes se passam por empresas para enganar candidatos a emprego e instalar malware que rouba informações. Recentemente, o grupo também começou a usar uma técnica chamada EtherHiding para buscar cargas úteis em blockchains como BNB Smart Chain e Ethereum, transformando essas infraestruturas descentralizadas em servidores de comando e controle. A campanha tem como alvo usuários que caem em ofertas de emprego falsas, levando à infecção de sistemas. Um exemplo recente envolve um aplicativo Node.js malicioso chamado Chessfi, que foi distribuído através do repositório Bitbucket. O malware evoluiu para incluir módulos que monitoram o clipboard e roubam dados de extensões de criptomoedas, aumentando o risco de roubo de informações sensíveis e acesso remoto. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados sensíveis.

O Google Threat Intelligence Group (GTIG) revelou que o grupo de hackers norte-coreano UNC5342 está utilizando uma técnica inovadora chamada EtherHiding para realizar roubos em larga escala de criptomoedas. Essa técnica, que foi inicialmente associada a grupos motivados financeiramente, envolve a inserção de códigos maliciosos em contratos inteligentes de blockchains, como BNB Smart Chain e Ethereum, transformando esses registros descentralizados em servidores de comando e controle à prova de desativação.

Um novo rootkit para Linux, chamado LinkPro, foi descoberto utilizando a tecnologia eBPF (Extended Berkeley Packet Filter) para ocultar sua presença e garantir persistência em sistemas comprometidos. A equipe de resposta a incidentes da Synacktiv (CSIRT) identificou o malware durante uma investigação em uma infraestrutura AWS comprometida. O LinkPro atuou como um backdoor discreto em clusters do Elastic Kubernetes Service (EKS) após a exploração de um servidor Jenkins exposto (CVE-2024-238976).

Um recente incidente de segurança deixou mais de 269.000 dispositivos de rede da F5 expostos na internet, conforme dados da Shadowserver Foundation. Esses dispositivos, que incluem controladores de entrega de aplicativos (ADCs) e balanceadores de carga, desempenham funções críticas nas redes corporativas, como a terminação de SSL/TLS e mitigação de DDoS. A exposição resulta de uma violação de rede reconhecida pela F5 em um aviso de segurança recente. A Shadowserver Foundation detecta cerca de 269.000 endereços IP expostos diariamente, com quase metade localizada nos Estados Unidos, o que indica um impacto potencial significativo para empresas e infraestruturas americanas. A F5 publicou um artigo de base de conhecimento para orientar as organizações afetadas. A falta de configuração adequada ou sistemas não atualizados pode permitir acesso administrativo total aos atacantes, que podem explorar esses sistemas para obter dados sensíveis ou lançar ataques adicionais. As organizações que utilizam produtos da F5 são fortemente aconselhadas a revisar as orientações de segurança da empresa e verificar os relatórios da Shadowserver para identificar se seus dispositivos estão entre os expostos.

A Microsoft anunciou a revogação de mais de 200 certificados utilizados pelo grupo de cibercriminosos conhecido como Vanilla Tempest, que assina fraudulentamente binários maliciosos em ataques de ransomware. Esses certificados foram empregados em arquivos de instalação falsos do Microsoft Teams para entregar o backdoor Oyster e, por fim, implantar o ransomware Rhysida. A atividade foi detectada no final de setembro de 2025, e a Microsoft já atualizou suas soluções de segurança para sinalizar as assinaturas associadas a esses arquivos maliciosos. O grupo Vanilla Tempest, que opera desde julho de 2022, é conhecido por distribuir diversas variantes de ransomware, incluindo BlackCat e Quantum Locker. O backdoor Oyster é frequentemente disseminado por meio de instaladores trojanizados de softwares populares, utilizando domínios maliciosos que imitam sites legítimos. A Microsoft alerta que os usuários são frequentemente direcionados a esses sites por meio de técnicas de SEO, que manipulam resultados de busca. Para se proteger, é recomendado baixar softwares apenas de fontes verificadas e evitar clicar em links suspeitos.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no WatchGuard Fireware, identificada como CVE-2025-9242, com uma pontuação CVSS de 9.3. Essa falha, que afeta versões do Fireware OS de 11.10.2 até 12.11.3 e 2025.1, permite que atacantes não autenticados executem código arbitrário. A vulnerabilidade está relacionada ao processo ‘ike2_ProcessPayload_CERT’, que não verifica corretamente o comprimento do buffer de identificação do cliente, possibilitando um estouro de buffer durante a fase de autenticação do IKE_SA_AUTH, essencial para a criação de um túnel VPN. Embora a validação do certificado ocorra, ela acontece após a execução do código vulnerável, permitindo que o ataque seja realizado antes da autenticação. A WatchGuard já lançou patches para corrigir a falha em várias versões do Fireware. A análise da WatchTowr Labs destaca que essa vulnerabilidade é atraente para grupos de ransomware, pois permite a execução de código em um serviço exposto à internet. A falta de um shell interativo não impede que um invasor obtenha controle sobre o sistema, podendo escalar privilégios e acessar um shell Linux completo. Dada a gravidade da falha, é crucial que as organizações que utilizam o Fireware atualizem seus sistemas imediatamente.

O Windows 10 recebeu sua última atualização de segurança, que corrige 172 falhas, incluindo seis vulnerabilidades zero-day. Essas falhas representam riscos significativos, pois são brechas que podem ser exploradas por atacantes antes que a Microsoft tenha a chance de lançar um patch. Entre as vulnerabilidades corrigidas, destacam-se problemas no Gerenciador de Conexão de Acesso Remoto do Windows, uma falha de bypass no Secure Boot e uma vulnerabilidade no TPM 2.0, que é essencial para a atualização para o Windows 11. A situação é alarmante, pois, sem atualizações de segurança, o sistema operacional pode se tornar um alvo fácil para cibercriminosos ao longo do tempo. A Microsoft oferece um programa de Atualizações de Segurança Estendidas (ESU) que permite aos usuários obter suporte adicional, o que é crucial para aqueles que ainda utilizam o Windows 10 após o fim do suporte oficial em outubro de 2025. Ignorar essas atualizações pode resultar em um aumento exponencial de vulnerabilidades, tornando o sistema cada vez mais inseguro.