Cibersegurança

Atualizações de segurança corrigem falhas críticas no MOVEit Automation

A Progress Software divulgou atualizações para corrigir duas vulnerabilidades de segurança no MOVEit Automation, uma solução de transferência de arquivos gerenciada e segura. As falhas identificadas são a CVE-2026-4670, que apresenta um risco crítico com uma pontuação CVSS de 9.8, permitindo um bypass de autenticação, e a CVE-2026-5174, com uma pontuação de 7.7, que permite a escalada de privilégios devido a uma validação inadequada de entrada. Ambas as vulnerabilidades podem ser exploradas através das interfaces de comando do serviço, resultando em acesso não autorizado e controle administrativo, além de potencial exposição de dados. As versões afetadas incluem MOVEit Automation até 2025.1.4, 2025.0.8 e 2024.1.7, que foram corrigidas nas versões 2025.1.5, 2025.0.9 e 2024.1.8, respectivamente. Embora não haja relatos de exploração ativa dessas falhas, a recomendação é que os usuários apliquem as correções imediatamente, especialmente considerando que vulnerabilidades anteriores no MOVEit Transfer foram exploradas por grupos de ransomware. A descoberta das falhas foi creditada a pesquisadores da Airbus SecLab.

Ataques de phishing são impulsionados por IA, alerta relatório

Um novo relatório da KnowBe4 revela que 86% dos ataques de phishing são agora gerados por inteligência artificial (IA), tornando-os mais sofisticados e difíceis de detectar. O estudo aponta um aumento significativo na automação dos ataques, com um crescimento de 49% em convites de calendário e 41% em ataques no Microsoft Teams nos últimos seis meses. A IA permite que os cibercriminosos criem mensagens de phishing personalizadas e realistas, aumentando a eficiência dos ataques em até sete vezes em comparação com métodos manuais. Além disso, a utilização de deepfakes, tanto em áudio quanto em vídeo, está se tornando uma preocupação crescente, com 30% dos ataques envolvendo a impersonação de funcionários internos, como gerentes. O relatório destaca que a engenharia social está se tornando mais direcionada, dificultando a distinção entre comunicações legítimas e maliciosas. A KnowBe4 também menciona a ascensão do phishing como serviço, que democratiza o acesso a essas técnicas, permitindo que até mesmo indivíduos sem conhecimento técnico realizem ataques. Para mitigar esses riscos, é essencial que as organizações adotem uma abordagem holística, utilizando análises comportamentais profundas e inteligência de ameaças em tempo real, além de treinar seus funcionários para reconhecer e evitar ataques de phishing.

Grupo desconhecido ataca entidades governamentais na Ásia

Um novo ator de ameaças foi identificado atacando entidades governamentais e militares no Sudeste Asiático, além de provedores de serviços gerenciados (MSPs) e provedores de hospedagem em países como Filipinas, Laos, Canadá, África do Sul e EUA. A exploração da vulnerabilidade CVE-2026-41940, uma falha crítica no cPanel e WebHost Manager (WHM), permite que atacantes remotos contornem autenticações e obtenham controle elevado do painel de controle. As atividades foram detectadas em 2 de maio de 2026, com foco em domínios governamentais das Filipinas e Laos. Além disso, o ator utilizou uma cadeia de exploração personalizada em um portal de treinamento do setor de defesa da Indonésia, combinando injeção SQL autenticada e execução remota de código. O acesso persistente foi facilitado por ferramentas como OpenVPN e Ligolo, permitindo a exfiltração de documentos do setor ferroviário da China. A vulnerabilidade cPanel está sendo explorada por múltiplos terceiros, com pelo menos 44.000 IPs comprometidos realizando ataques de força bruta. A situação exige atenção, pois a exploração pode impactar a conformidade com a LGPD no Brasil.

Norton VPN lança VPN nativa de IA para agentes

A Norton VPN anunciou o lançamento do que considera ser a “primeira VPN verdadeiramente nativa de IA para agentes”, projetada para atender às necessidades de agentes autônomos que operam na internet. Tradicionalmente, as VPNs eram desenvolvidas para usuários humanos, o que limitava a eficácia dos agentes de IA ao compartilhar configurações de VPN e internet. A nova solução da Norton promete uma integração total com as atividades dos agentes de IA, eliminando a necessidade de instalação de aplicativos ou interfaces de linha de comando.

Operação internacional desmantela fraudes em criptomoedas

Uma operação internacional coordenada entre autoridades dos EUA e da China resultou na prisão de pelo menos 276 suspeitos e no fechamento de nove centros de fraudes relacionados a investimentos em criptomoedas, que visavam cidadãos americanos. A ação foi liderada pela Polícia de Dubai, em colaboração com o FBI e o Ministério da Segurança Pública da China. Os acusados, incluindo indivíduos de Mianmar e Indonésia, enfrentam acusações de fraude e lavagem de dinheiro nos EUA. Os golpistas utilizavam táticas conhecidas como ‘pig butchering’ e ‘romance baiting’, enganando vítimas a investirem em plataformas fraudulentas de criptomoedas. Após a transferência dos fundos, os ativos eram lavados para contas de criptomoedas dos fraudadores. A operação também resultou na notificação de quase 9.000 vítimas e na recuperação de aproximadamente $562 milhões. Além disso, um senador cambojano foi sancionado por seu envolvimento em redes de fraudes cibernéticas. A situação destaca a crescente interconexão entre fraudes financeiras e tráfico humano, com trabalhadores sendo forçados a participar de esquemas fraudulentos sob condições desumanas.

Microsoft Defender detecta certificados DigiCert como malware

Recentemente, o Microsoft Defender começou a identificar certificados raiz legítimos da DigiCert como o malware Trojan:Win32/Cerdigent.A!dha, resultando em alertas de falsos positivos em larga escala. O problema teve início após uma atualização de assinatura do Defender em 30 de abril, levando à remoção de certificados da loja de confiança do Windows em sistemas afetados. Administradores relataram que os certificados identificados incluem dois hashes específicos. A situação gerou preocupação entre os usuários, muitos dos quais acreditaram que seus dispositivos estavam infectados e optaram por reinstalar o sistema operacional. A Microsoft já lançou uma atualização de inteligência de segurança que corrige as detecções e restaura os certificados removidos. Este incidente ocorre em um contexto em que a DigiCert enfrentou uma violação de segurança, permitindo que atacantes obtivessem certificados de assinatura de código válidos usados para assinar malware. A DigiCert revogou 60 certificados de assinatura de código, incluindo aqueles associados a uma campanha de malware chamada Zhong Stealer. Embora a Microsoft não tenha confirmado uma ligação direta entre os falsos positivos e a violação da DigiCert, a coincidência de tempo e o foco nos certificados da DigiCert levantam questões sobre uma possível conexão.

Instructure confirma roubo de dados em ataque cibernético

A Instructure, uma gigante da tecnologia educacional dos EUA, confirmou que dados foram roubados em um ataque cibernético atribuído ao grupo de extorsão ShinyHunters. A empresa, conhecida pelo sistema de gerenciamento de aprendizado Canvas, revelou que informações pessoais de usuários foram expostas, incluindo nomes, endereços de e-mail e números de identificação de estudantes. Até o momento, não há evidências de que senhas ou informações financeiras tenham sido comprometidas. A Instructure está colaborando com especialistas em cibersegurança e autoridades para investigar o incidente e já implementou medidas de segurança, como patches e monitoramento intensificado. O grupo ShinyHunters alegou que o ataque explorou uma vulnerabilidade em seus sistemas, resultando no roubo de mais de 240 milhões de registros de aproximadamente 9.000 instituições em várias regiões do mundo. A situação destaca a crescente preocupação com a segurança de dados em plataformas educacionais, especialmente em um cenário onde a proteção de informações pessoais é crucial.

Invasores de Corpos como hackers controlam programas em execução

O artigo de Fábio Maia explora como hackers conseguem tomar controle de programas em execução, utilizando uma analogia com o filme ‘Invasion of the Body Snatchers’. Ele explica que a arquitetura de von Neumann, que permite que código e dados coexistam na mesma memória, é a raiz do problema. Quando um programa não gerencia corretamente a memória, um ataque de ‘buffer overflow’ pode ocorrer, permitindo que um invasor insira código malicioso em áreas de memória adjacentes. Isso acontece quando um programa aceita mais dados do que o esperado, sobrescrevendo a memória e permitindo que o invasor execute suas instruções. Apesar de existirem mitigadores como ASLR e DEP/NX, a exploração continua a ser uma preocupação devido à complexidade do código legado e à pressão por desempenho. O autor conclui que a falta de segurança em muitos sistemas é uma questão persistente, e que a dualidade entre o modelo mental do programador e a realidade física da máquina pode levar a consequências graves.

Fraude em larga escala utiliza Telegram para golpes e malware

Pesquisadores de cibersegurança descobriram uma operação de fraude em larga escala que utiliza o recurso de Mini Apps do Telegram para realizar golpes relacionados a criptomoedas, imitar marcas conhecidas e distribuir malware para Android. Segundo um relatório da CTM360, a plataforma, chamada FEMITBOT, utiliza respostas de API para criar experiências convincentes dentro do aplicativo de mensagens. Os golpistas imitam marcas renomadas como Apple, Coca-Cola e Disney, aumentando a credibilidade das suas fraudes. Ao interagir com bots do Telegram, os usuários são levados a Mini Apps que exibem páginas de phishing, mostrando saldos falsos e ofertas limitadas para induzir a depósitos. Além disso, alguns Mini Apps tentam distribuir malware disfarçado de aplicativos legítimos. Os pesquisadores alertam que os usuários devem ter cautela ao interagir com bots que promovem investimentos em criptomoedas ou solicitam downloads de aplicativos, especialmente fora da Google Play Store. A operação é considerada uma ameaça significativa, com um potencial impacto na segurança dos usuários e na conformidade com a LGPD.

Vulnerabilidade crítica no Linux permite escalonamento de privilégios

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma nova vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-31431, possui uma pontuação CVSS de 7.8 e se trata de uma vulnerabilidade de escalonamento de privilégios local (LPE) que pode permitir que um usuário local sem privilégios obtenha acesso root. Essa falha, que existe há nove anos, é resultado de um erro lógico no template criptográfico de autenticação do kernel Linux, permitindo que atacantes acionem a escalada de privilégios com um exploit de apenas 732 bytes. A vulnerabilidade afeta distribuições Linux desde 2017 e pode ser explorada por usuários não privilegiados para corromper o cache de página em memória do kernel, resultando em execução de código com permissões de root. A CISA recomenda que as agências federais apliquem correções até 15 de maio de 2026, e, se a aplicação de patches não for imediata, sugere desabilitar a funcionalidade afetada e implementar controles de acesso. A presença de um exploit funcional já disponível aumenta a urgência da situação, especialmente em ambientes de contêiner, onde a vulnerabilidade pode comprometer a isolação e o controle do sistema físico.

Novo ataque ConsentFix v3 automatiza phishing no Microsoft Azure

Um novo tipo de ataque, denominado ConsentFix v3, está circulando em fóruns de hackers como uma técnica aprimorada que automatiza ataques contra o Microsoft Azure. A versão original foi apresentada pela Push Security em dezembro passado, como uma variação do ClickFix, focada em ataques de phishing via OAuth. O ConsentFix v3 mantém a ideia central de abusar do fluxo de autorização OAuth2, mas agora incorpora automação e escalabilidade. O ataque começa com a verificação da presença do Azure no ambiente alvo, seguido pela coleta de dados de funcionários para facilitar a impersonificação. Os atacantes criam várias contas em serviços como Outlook e Cloudflare para suportar operações de phishing e exfiltração de dados. Uma plataforma chamada Pipedream desempenha um papel crucial, atuando como um endpoint de webhook que recebe o código de autorização da vítima e automatiza a troca por tokens de acesso. O fluxo de ataque é finalizado com uma página de phishing que imita a interface do Microsoft/Azure, enganando a vítima a interagir com um URL localhost. Os tokens obtidos permitem que os atacantes acessem recursos da conta comprometida. Apesar de o ConsentFix v3 ainda não ter sido amplamente adotado, as implicações de segurança são significativas, especialmente para organizações que utilizam serviços da Microsoft.

Trellix sofre violação de segurança com acesso não autorizado ao código-fonte

A empresa de cibersegurança Trellix anunciou que sofreu uma violação de segurança que permitiu o acesso não autorizado a uma parte de seu repositório de código-fonte. A companhia, que foi formada em janeiro de 2022 pela fusão da McAfee Enterprise e FireEye, informou que identificou recentemente a violação e começou a trabalhar com especialistas forenses para resolver a situação. Embora a Trellix não tenha revelado a natureza exata dos dados acessados, garantiu que não há indícios de que seu código-fonte tenha sido afetado ou explorado. A empresa também notificou as autoridades policiais sobre o incidente. Até o momento, não foram divulgadas informações sobre a identidade dos atacantes ou a duração do acesso não autorizado. A Trellix se comprometeu a compartilhar mais informações assim que a investigação for concluída, destacando que não encontrou evidências de que seu processo de distribuição de código-fonte tenha sido comprometido.

Instructure revela incidente de cibersegurança na plataforma Canvas

A Instructure, empresa responsável pela plataforma de aprendizado Canvas, anunciou que sofreu um incidente de cibersegurança e está investigando suas consequências. O Chief Security Officer, Steve Proud, declarou que a empresa está trabalhando com especialistas forenses externos para entender a extensão do ataque, que foi realizado por um ator de ameaça criminal. A Instructure enfatizou que a manutenção da confiança dos usuários é sua prioridade máxima e que se compromete a ser transparente durante todo o processo de investigação. Desde 1º de maio, alguns serviços, como Canvas Data 2 e Canvas Beta, estão em manutenção, e os clientes foram alertados sobre possíveis problemas com ferramentas que dependem de chaves de API, embora a empresa não tenha confirmado se essa manutenção está relacionada ao incidente de segurança. O aumento de ataques a empresas de tecnologia educacional é uma preocupação crescente, dado o grande volume de informações pessoais que elas armazenam sobre alunos e professores. Incidentes anteriores, como o vazamento de dados da PowerSchool, que afetou 62 milhões de estudantes, e um ataque de engenharia social à Instructure em setembro de 2025, ressaltam a vulnerabilidade desse setor.

Hackers usam torres de celular falsas em Toronto para sequestrar dispositivos

Recentemente, autoridades canadenses revelaram uma operação de cibersegurança em Toronto, onde hackers utilizaram torres de celular falsas para sequestrar milhares de dispositivos móveis. Os criminosos dirigiram por áreas urbanas com equipamentos que imitavam torres de celular legítimas, forçando os telefones próximos a se conectarem a essas redes fraudulentas. Essa manobra resultou em mais de 13 milhões de interrupções de rede, permitindo que os atacantes enviassem mensagens fraudulentas que pareciam vir de instituições confiáveis, levando os usuários a sites falsos para roubo de credenciais e pagamentos não autorizados. O impacto vai além de perdas financeiras, pois a interferência nas conexões pode comprometer o acesso a serviços de emergência, como polícia e ambulâncias. A operação, considerada a primeira do tipo no Canadá, destaca a vulnerabilidade das redes móveis e a necessidade de medidas de segurança mais robustas. Embora a operação tenha sido encerrada, a ameaça de torres de celular falsas continua a ser uma preocupação global, com casos semelhantes registrados em outros países.

Menor é detido por venda de dados roubados de agência francesa

As autoridades francesas detiveram um adolescente de 15 anos suspeito de vender dados roubados em um ataque cibernético à ANTS (Agência Nacional de Títulos de França), responsável pela emissão e gestão de documentos administrativos. A agência confirmou a violação e a autenticidade dos dados oferecidos à venda em um fórum criminoso por um usuário identificado como ‘breach3d’. Em 13 de abril, a ANTS detectou atividades suspeitas em sua rede e notificou as autoridades em 16 de abril. Acredita-se que o menor tenha oferecido entre 12 e 18 milhões de registros roubados. Ele enfrenta acusações de acesso não autorizado, persistência e exfiltração de dados de um sistema automatizado de processamento de dados pessoais, além de posse de software que possibilita esses crimes. As penas podem chegar a sete anos de prisão e multas de até 300 mil euros. A ANTS revelou que os dados comprometidos incluem nomes completos, endereços de e-mail, datas de nascimento, endereços postais e números de telefone, afetando cerca de 11,7 milhões de contas. Embora o número de registros oferecidos inicialmente fosse maior, a agência afirmou que os dados não poderiam ser usados para acessos não autorizados.

Operação vietnamita usa Google AppSheet para phishing de contas do Facebook

Uma nova operação ligada ao Vietnã foi descoberta utilizando o Google AppSheet como um “relé de phishing” para distribuir e-mails fraudulentos com o objetivo de comprometer contas do Facebook. Nomeada de AccountDumpling pela Guardio, a campanha resultou no roubo de aproximadamente 30.000 contas, que são revendidas em um mercado ilícito operado pelos criminosos. Os ataques começam com e-mails direcionados a proprietários de contas comerciais do Facebook, se passando por suporte da Meta e criando um senso de urgência para que os usuários cliquem em links que levam a páginas falsas para coleta de credenciais. Os pesquisadores identificaram várias táticas, incluindo páginas de ajuda falsas, iscas de avaliação de contas e ofertas de emprego fraudulentas, todas projetadas para induzir pânico relacionado à Meta. Os dados coletados são enviados para canais do Telegram controlados pelos atacantes. A operação é considerada uma grande estrutura criminosa, com evidências apontando para um autor vietnamita, e destaca a crescente sofisticação das táticas de phishing. Este incidente é um alerta para a segurança cibernética, especialmente para empresas que utilizam plataformas populares como o Facebook.

Microsoft atualiza política de remoção de aplicativos do Windows 11

A Microsoft anunciou uma atualização em sua política de remoção de aplicativos pré-instalados no Windows 11, permitindo que administradores de TI escolham quais aplicativos da Microsoft Store podem ser desinstalados. A nova política, chamada RemoveDefaultMicrosoftStorePackages, agora permite a remoção de qualquer aplicativo MSIX/APPX pré-instalado, utilizando o nome da família do pacote (PFN) através de objetos de política de grupo (GPO) ou um OMA-URI personalizado para gerenciamento de dispositivos móveis (MDM). Para utilizar essa funcionalidade, os administradores devem garantir que seus dispositivos tenham pelo menos a atualização não relacionada à segurança de abril de 2026 instalada. Além disso, a política foi estendida para as edições Enterprise e Education do Windows 11 versão 24H2, que anteriormente só era aplicável a versões 25H2 ou superiores. A Microsoft também mencionou que a remoção do assistente digital Copilot agora é possível com uma nova configuração de política. Embora a opção de lista dinâmica ainda não esteja disponível no Intune, a Microsoft planeja implementá-la em breve. Essa atualização visa facilitar a gestão de aplicativos na Microsoft Store em ambientes corporativos, permitindo uma abordagem mais personalizada e eficiente na administração de software.

Criminal IP e Securonix Integração de Inteligência em Cibersegurança

A parceria entre Criminal IP e Securonix visa integrar a inteligência de ameaças da Criminal IP ao ThreatQ, permitindo que organizações incorporem dados de IP externos em seus fluxos de trabalho existentes. Essa integração oferece uma visão mais clara sobre como ativos e infraestruturas estão expostos na internet, enriquecendo as investigações com dados atualizados e contextuais. Através de APIs, a Criminal IP enriquece indicadores de IP com informações como pontuação de maliciosidade, detecção de VPNs e proxies, exposição de acesso remoto, portas abertas e vulnerabilidades conhecidas. Isso facilita a triagem e priorização de ameaças, permitindo que as equipes de segurança respondam de forma mais ágil e informada. A interface do ThreatQ permite que analistas realizem buscas em tempo real, melhorando a visibilidade e a compreensão das relações entre endereços IP e atividades de ataque. A integração destaca a importância da inteligência baseada em exposição na análise de ameaças, ajudando as organizações a tomar decisões mais informadas sem adicionar complexidade operacional.

Profissionais de cibersegurança são condenados por ataques de ransomware

O Departamento de Justiça dos EUA anunciou a condenação de dois profissionais de cibersegurança, Ryan Goldberg e Kevin Martin, a quatro anos de prisão por sua participação em ataques de ransomware BlackCat em 2023. Ambos, junto com um terceiro cúmplice, Angelo Martino, foram acusados de extorquir vítimas em todo o país, utilizando suas habilidades em cibersegurança para facilitar os ataques. Os criminosos concordaram em pagar 20% dos resgates recebidos aos administradores do BlackCat em troca de acesso à plataforma de extorsão. Em um dos casos, conseguiram extorquir cerca de US$ 1,2 milhão em Bitcoin, que foi posteriormente lavado. O esquema de ransomware como serviço (RaaS) BlackCat já havia atacado mais de 1.000 vítimas globalmente. Martino, que também se declarou culpado, abusou de sua função como negociador para obter pagamentos maiores, revelando informações confidenciais sobre limites de apólices de seguro das vítimas. O caso destaca a grave ameaça que profissionais com conhecimento técnico podem representar quando desviam suas habilidades para atividades criminosas.

Crescimento do mercado de serviços de segurança gerenciada até 2030

O mercado de serviços de segurança gerenciada (MSP) está projetado para crescer de US$ 38,31 bilhões em 2025 para US$ 69,16 bilhões até 2030, com a cibersegurança se destacando como o setor de mais rápido crescimento. No entanto, muitos MSPs perdem oportunidades de receita devido a estratégias de mercado que não conectam a expertise técnica às necessidades empresariais. A falta de urgência dos clientes, a complexidade das comitês de compra e a objeção ao custo são alguns dos desafios enfrentados. Para superar esses obstáculos, é crucial que os MSPs alinhem o valor da segurança às prioridades de negócios, utilizando uma linguagem acessível que traduza riscos técnicos em resultados empresariais. A Cynomi lançou o GTM Academy Sales Kit para ajudar as equipes de vendas a converter a demanda crescente em receita consistente. O kit inclui ferramentas práticas para enfrentar os desafios de vendas, como frameworks de descoberta adaptados a diferentes stakeholders e playbooks para upselling. A adoção de uma abordagem sistemática e disciplinada pode transformar esses desafios em oportunidades, permitindo que os MSPs se tornem consultores de segurança confiáveis e maximizem o valor para os clientes.

Campanha de espionagem cibernética ligada à China atinge governos na Ásia

Pesquisadores de cibersegurança revelaram uma nova campanha de espionagem cibernética alinhada à China, focada em setores governamentais e de defesa na Ásia e em um país europeu da OTAN. A Trend Micro identificou a atividade como pertencente ao grupo SHADOW-EARTH-053, ativo desde dezembro de 2024. O grupo explora vulnerabilidades conhecidas em servidores Microsoft Exchange e Internet Information Services (IIS), utilizando técnicas como o uso de web shells e implantes de malware ShadowPad. Os alvos incluem países como Paquistão, Tailândia, Malásia, Índia, Mianmar, Sri Lanka e Taiwan, além da Polônia na Europa. A campanha utiliza ferramentas de tunneling de código aberto e técnicas de escalonamento de privilégios, como Mimikatz. A Trend Micro recomenda que as organizações priorizem a aplicação de atualizações de segurança e considerem a implementação de sistemas de prevenção de intrusões. Além disso, o Citizen Lab destacou campanhas de phishing por grupos afiliados à China, visando jornalistas e ativistas, com táticas de engenharia social bem elaboradas. Essas atividades refletem uma repressão transnacional digital, alinhada com as prioridades de inteligência do governo chinês.

Grupos cibercriminosos atacam ambientes SaaS com alta velocidade

Pesquisadores em cibersegurança alertam sobre dois grupos de cibercrime, Cordial Spider e Snarky Spider, que estão realizando ataques rápidos e de alto impacto em ambientes de Software como Serviço (SaaS). Esses grupos, ativos desde pelo menos outubro de 2025, utilizam táticas como phishing por voz (vishing) para direcionar usuários a páginas de login falsas, onde capturam dados de autenticação. Ao operar quase exclusivamente em ambientes SaaS confiáveis, eles minimizam suas pegadas digitais, dificultando a detecção por parte das equipes de segurança. Os ataques têm como alvo principalmente setores de varejo e hospitalidade, e os invasores são conhecidos por registrar novos dispositivos para contornar a autenticação multifatorial (MFA) e suprimir notificações de e-mail sobre registros não autorizados. A exfiltração de dados ocorre rapidamente, geralmente em menos de uma hora, e os atacantes visam contas privilegiadas para acessar informações sensíveis em plataformas como Google Workspace e Salesforce. A combinação de velocidade e precisão torna esses ataques particularmente desafiadores para a defesa.

Ferramentas de IA tornam exploração de vulnerabilidades mais rápida e fácil

O artigo da TechRadar discute como as ferramentas de inteligência artificial (IA) mudaram o cenário da cibersegurança, tornando a exploração de vulnerabilidades mais rápida e acessível. Tradicionalmente, as equipes de segurança avaliavam o risco de vulnerabilidades com base em dois fatores principais: o potencial de dano e a probabilidade de exploração, utilizando frameworks como o CVSS. No entanto, com o advento de ferramentas de codificação assistidas por IA, essa dinâmica mudou drasticamente. Antes, a exploração de uma vulnerabilidade exigia habilidades técnicas avançadas e um tempo considerável para desenvolver um exploit funcional. Agora, qualquer pessoa pode gerar código de exploração a partir de descrições simples, reduzindo o tempo necessário de semanas para horas ou até minutos. Isso significa que as pontuações de probabilidade do CVSS, que se baseavam na suposição de que a exploração era complexa e demorada, não refletem mais a realidade atual. A análise sugere que os gerentes de risco devem reavaliar suas abordagens, focando em fatores como a exposição do sistema e a robustez dos controles de acesso, em vez de confiar nas pontuações de probabilidade tradicionais. Essa mudança é crucial para que as empresas possam se proteger adequadamente em um ambiente de ameaças em rápida evolução.

NordVPN lança verificador de voz AI para combater deepfakes de áudio

A NordVPN lançou uma nova funcionalidade em sua extensão para Chrome que utiliza inteligência artificial para detectar deepfakes de áudio em tempo real. Essa ferramenta, chamada AI Voice Detector, visa proteger os usuários contra fraudes e golpes que utilizam vozes clonadas. Com a crescente sofisticação das tecnologias de voz geradas por IA, a identificação de conteúdos falsos se torna cada vez mais desafiadora. O detector analisa o áudio transmitido em uma aba do navegador, comparando-o com milhares de amostras de áudio reais e gerados por IA. Caso identifique um deepfake, o usuário recebe um alerta imediato por meio de notificações coloridas: vermelho para conteúdos gerados por IA, amarelo para possíveis deepfakes e verde para áudios de baixo risco. A instalação é simples e não compromete a privacidade do usuário, pois não registra dados pessoais ou históricos de navegação. A NordVPN já possui outras ferramentas de segurança, como um bloqueador de fraudes e monitoramento da dark web, e continua a expandir suas ofertas de proteção contra cibercrimes. Essa inovação é especialmente relevante em um cenário onde fraudes online estão em ascensão, tornando a proteção contra deepfakes uma prioridade para os usuários da internet.

Ex-funcionários de empresas de cibersegurança são condenados por ransomware

Ryan Clifford Goldberg e Kevin Tyler Martin, ex-funcionários de empresas de resposta a incidentes de cibersegurança, foram condenados a quatro anos de prisão por envolvimento em ataques de ransomware BlackCat (ALPHV) contra empresas nos EUA. Ambos, junto com um terceiro cúmplice, Angelo Martino, atuaram como afiliados do ransomware entre maio e novembro de 2023, comprometendo redes de diversas vítimas, incluindo uma empresa farmacêutica em Maryland e um fabricante de dispositivos médicos em Tampa. Os criminosos exploraram seu conhecimento especializado em cibersegurança para extorquir empresas, exigindo resgates que variavam de $300.000 a $10 milhões. O caso destaca a crescente ameaça de ransomware e a necessidade de vigilância constante nas redes corporativas. O FBI já havia vinculado o grupo BlackCat a mais de 60 violações de segurança, coletando pelo menos $300 milhões em pagamentos de resgate até setembro de 2023. Este incidente ressalta a importância de uma postura proativa em cibersegurança e a necessidade de medidas rigorosas para proteger dados sensíveis.

Campanha de ataque à cadeia de suprimentos usa pacotes maliciosos

Uma nova campanha de ataque à cadeia de suprimentos de software foi identificada, utilizando pacotes ‘sleeper’ para disseminar cargas maliciosas que possibilitam o roubo de credenciais, manipulação de ações do GitHub e persistência SSH. A atividade foi atribuída à conta do GitHub ‘BufferZoneCorp’, que publicou repositórios associados a gems Ruby e módulos Go maliciosos. Os pacotes foram removidos do RubyGems e os módulos Go foram bloqueados. Os gems Ruby têm como objetivo automatizar o roubo de credenciais durante a instalação, coletando variáveis de ambiente, chaves SSH e segredos da AWS, que são exfiltrados para um endpoint controlado pelo atacante. Os módulos Go, por sua vez, têm capacidades mais amplas, como manipular fluxos de trabalho do GitHub Actions e adicionar chaves SSH para acesso remoto ao host comprometido. Os usuários que instalaram os pacotes são aconselhados a removê-los, revisar acessos não autorizados e rotacionar credenciais expostas.

Empresas do Reino Unido ignoram falhas antigas enquanto hackers atacam

Um recente relatório da SonicWall revela que empresas no Reino Unido continuam a operar com sistemas vulneráveis, muitos dos quais possuem falhas conhecidas há mais de uma década. Em 2025, foram registrados 67 milhões de tentativas de ataque, com uma única vulnerabilidade em câmeras IP da Hikvision representando cerca de 20% de todas as intrusões detectadas. Apesar de 80% dos líderes de TI afirmarem que conseguem identificar uma violação em até oito horas, a média real é de 181 dias, evidenciando a ineficácia na detecção de intrusões. Embora o volume de ransomware tenha caído 87%, o número de organizações comprometidas aumentou em 20%, indicando que os atacantes estão se tornando mais precisos em suas ações. As pequenas e médias empresas são as mais afetadas, com 88% das violações envolvendo ransomware. O uso crescente de ferramentas de inteligência artificial tem facilitado a execução de ataques, com bots realizando 36.000 varreduras por segundo. Para mitigar esses riscos, as organizações devem realizar um inventário de dispositivos conectados, priorizar a correção de vulnerabilidades conhecidas e implementar segmentação de rede.

Hackers abusam de plataformas de e-mail confiáveis como Gmail

Hackers estão explorando plataformas de e-mail confiáveis, como o Gmail, como uma das formas mais fáceis de contornar a segurança. Um relatório da VIPRE Security Group revela que 46% de todo o spam global é comercial, com 33% vindo de contas comprometidas e 32% de serviços de e-mail gratuitos. Esses ataques não apenas geram incômodo, mas também causam fadiga nos usuários, aumentando a probabilidade de que eles cliquem em links maliciosos. Os atacantes utilizam técnicas sofisticadas, como linhas de assunto enganosas e promoções urgentes, para manipular as emoções dos destinatários. Além disso, a maioria dos links de phishing analisados estava disfarçada de URLs legítimas, dificultando a detecção. A situação é agravada pela falta de incentivo das plataformas de e-mail para filtrar spam comercial, uma vez que isso pode impactar suas métricas de engajamento. Para mitigar esses riscos, as organizações precisam reforçar suas defesas de e-mail e repensar como a confiança é estabelecida em todos os canais de comunicação.

Romeno condenado por ataques de swatting a autoridades nos EUA

Thomasz Szabo, um cidadão romeno de 27 anos, foi condenado a quatro anos de prisão federal por liderar um esquema de swatting que visou mais de 75 autoridades públicas, jornalistas e instituições religiosas nos Estados Unidos. O swatting é uma tática criminosa que envolve fazer falsas denúncias a serviços de emergência, provocando respostas policiais armadas. Szabo, extraditado da Romênia em novembro de 2024, se declarou culpado de conspiração e ameaças envolvendo explosivos em junho de 2025. Ele operava sob vários pseudônimos e incentivou seus seguidores a realizar ataques semelhantes, resultando em uma série de ameaças que custaram mais de 500 mil dólares em recursos públicos. Entre as ameaças, destacam-se uma tentativa de ataque em sinagogas de Nova York e uma ameaça de explosão no Capitólio dos EUA. O FBI destacou que os ataques de Szabo drenaram recursos da polícia e colocaram civis inocentes em risco. A condenação é um passo importante para desestimular a prática do swatting, que muitos ainda consideram uma brincadeira. O caso também envolve um cúmplice sérvio, Nemanja Radovanovic, que enfrenta processos separados.

Novo kit de phishing Bluekit usa IA para ataques mais sofisticados

O Bluekit é um novo kit de phishing que oferece mais de 40 modelos voltados para serviços populares, incluindo e-mails e plataformas de criptomoedas. O diferencial do Bluekit é a presença de um painel de Assistente de IA que utiliza modelos como Llama, GPT-4.1, Claude, Gemini e DeepSeek para ajudar os cibercriminosos a elaborar rascunhos de campanhas de phishing. Apesar de estar em uma fase inicial, a análise da empresa de cibersegurança Varonis revelou que os rascunhos gerados ainda contêm conteúdo genérico e precisam de ajustes antes de serem utilizados. Além da funcionalidade de IA, o Bluekit integra a compra e registro de domínios, configuração de páginas de phishing e gerenciamento de campanhas em uma única interface, permitindo que os operadores tenham controle granular sobre o comportamento das páginas de phishing. Os dados roubados são exfiltrados via Telegram, e a plataforma permite monitorar as sessões das vítimas em tempo real, o que ajuda a refinar os ataques. O Bluekit representa uma evolução nas ferramentas de phishing, tornando-as mais acessíveis e eficientes para cibercriminosos de menor escalão, e está em desenvolvimento ativo, o que pode levar a uma adoção crescente.

Ataque à cadeia de suprimentos compromete pacote Python Lightning

Um novo ataque à cadeia de suprimentos de software comprometeu o popular pacote Python Lightning, resultando na publicação de duas versões maliciosas (2.6.2 e 2.6.3) em 30 de abril de 2026. O ataque, que é uma extensão do incidente Mini Shai-Hulud, visa roubo de credenciais. As versões maliciosas contêm um diretório oculto que executa um script Python para baixar e executar um payload JavaScript ofuscado, permitindo o roubo de credenciais, incluindo tokens do GitHub. Esses tokens são validados e utilizados para injetar um payload em até 50 branches de repositórios. Além disso, o malware modifica pacotes npm locais, aumentando o número da versão e repackaging, o que pode levar à disseminação do malware em sistemas de usuários finais. Os administradores do repositório PyPI já isolaram o projeto, e recomenda-se que os desenvolvedores removam as versões afetadas e revertam para a versão 2.6.1. A investigação sobre como a conta do GitHub do projeto foi comprometida ainda está em andamento.

Não envie SMS para confirmar que é humano conheça o golpe do CAPTCHA falso

Um novo golpe de cibersegurança, conhecido como CAPTCHA falso, tem enganado usuários ao solicitar o envio de mensagens SMS para números internacionais. Identificado por pesquisadores da Infoblox, esse esquema malicioso está ativo desde junho de 2020 e utiliza engenharia social para induzir as vítimas a enviarem mensagens de texto, resultando em cobranças que podem chegar a R$ 150. O golpe opera através de sites fraudulentos que exibem mensagens pedindo para que o usuário confirme que é humano, levando-o a enviar SMS para múltiplos números. A natureza desse golpe dificulta sua denúncia, uma vez que as cobranças podem demorar semanas para aparecer nas contas telefônicas das vítimas. Além disso, as operadoras de telecomunicações também são impactadas, pois precisam dividir os lucros com os golpistas e lidar com estornos. A Infoblox alerta que nenhum CAPTCHA legítimo exige o envio de mensagens SMS, recomendando que os usuários não respondam a tais solicitações.

Gamer se vangloria de ter baixado GTA 6, mas era um malware poderoso

Recentemente, um usuário do Reddit, conhecido como NotAGoat3, afirmou ter baixado uma versão antecipada do aguardado jogo Grand Theft Auto 6 (GTA 6). Em uma postagem na comunidade r/GTA6unmoderated, ele se gabou de ter acesso ao jogo, desafiando críticos e negacionistas. No entanto, após a instalação, o usuário enfrentou sérios problemas em seu computador, que começou a apresentar lentidão e comportamentos estranhos, como um prompt de comando que abria e fechava rapidamente. Posteriormente, ele postou na comunidade r/computerviruses, buscando ajuda para resolver os problemas, que indicavam a possível infecção por um malware. Os sintomas relatados sugerem que o computador pode ter sido comprometido por um vírus de acesso remoto ou utilizado para mineração de criptomoedas. Este incidente serve como um alerta para os fãs de jogos: a cautela é essencial ao baixar arquivos da internet, especialmente versões piratas ou não oficiais de jogos ainda não lançados. O caso destaca a importância de se proteger contra ameaças cibernéticas, que podem se disfarçar como conteúdos atraentes, mas que, na verdade, são armadilhas perigosas.

Grupo cibercriminoso Interlock reivindica ataque a governo de Minnesota

O grupo cibercriminoso Interlock assumiu a responsabilidade por um ataque de ransomware que ocorreu em abril de 2026, afetando o governo local do Condado de Winona, em Minnesota. Em 9 de abril, o condado anunciou que havia retirado seus sistemas do ar após detectar a invasão, alertando os residentes sobre possíveis atrasos nos serviços. Interlock afirmou ter roubado mais de 2 milhões de arquivos e publicou amostras de documentos supostamente extraídos. Até o momento, o condado não confirmou a alegação e não se sabe se um resgate foi pago ou como a rede foi comprometida. Este foi o segundo ataque de ransomware ao Condado de Winona em 2026, sendo que em janeiro o condado já havia declarado estado de emergência devido a um ataque anterior. O grupo Interlock, que começou a reivindicar ataques em 2024, já foi responsável por 16 incidentes em 2026, incluindo ataques a instituições educacionais e organizações sem fins lucrativos. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, resultando em sérios riscos de perda de dados e interrupção de serviços essenciais.

Vulnerabilidade crítica de bypass de autenticação no cPanel

A vulnerabilidade crítica CVE-2026-41940, que permite o bypass de autenticação em cPanel, WHM e WP Squared, está sendo ativamente explorada desde o final de fevereiro de 2026. A falha, identificada como uma injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão, permite que atacantes acessem sistemas sem a validação adequada da senha. A empresa KnownHost, que utiliza cPanel, relatou tentativas de exploração já no dia da divulgação da vulnerabilidade. Em resposta, a cPanel lançou um patch em 28 de abril, após pressão de provedores de hospedagem. A vulnerabilidade afeta versões do cPanel a partir da 11.40 e também impacta o WP Squared. A Rapid7 estima que cerca de 1,5 milhão de instâncias do cPanel estão expostas online, embora não haja dados sobre quantas são vulneráveis. Para mitigar riscos, recomenda-se bloquear o acesso externo a portas específicas e reiniciar serviços após a aplicação das correções. A situação é crítica, pois a exploração bem-sucedida pode conceder controle total sobre o sistema cPanel e os sites gerenciados.

Uma análise técnica das primeiras 24 horas como atacantes visam ativos expostos

O artigo de Topher Lyons, da Sprocket Security, destaca a rapidez com que atacantes identificam e exploram novos ativos expostos na internet. Assim que um ativo recebe um endereço IP público, um cronômetro começa a contar, e em minutos, ele já pode estar sendo sondado por scanners automatizados como Shodan e Censys. O processo se desenrola em etapas: em até uma hora, os scanners catalogam portas abertas e informações de serviços; em até seis horas, começa a enumeração ativa, onde ferramentas de ataque realizam tentativas de acesso. Após 12 horas, a probabilidade de comprometimento é alarmante, com 80% dos ativos testados sendo invadidos nesse período. O artigo também enfatiza a importância de ter visibilidade contínua sobre a superfície de ataque externa, destacando que muitos ativos expostos podem ser desconhecidos até mesmo para as equipes de segurança. Um exemplo prático ilustra como uma API oculta foi descoberta em um aplicativo web, expondo dados sensíveis sem autenticação. A Sprocket Security oferece uma solução que permite às organizações identificar e mitigar esses riscos antes que os atacantes o façam.

FBI alerta sobre aumento de roubo de carga cibernético nos EUA e Canadá

O FBI alertou a indústria de transporte e logística sobre um aumento acentuado nos roubos de carga habilitados por ciberataques, com perdas estimadas em quase US$ 725 milhões até 2025, representando um aumento de 60% em relação ao ano anterior. O número de incidentes confirmados de roubo de carga cresceu 18% no último ano, enquanto o valor médio por roubo subiu 36%, alcançando US$ 273.990. Os criminosos têm utilizado táticas de hacking e de falsificação para sequestrar cargas de alto valor, infiltrando-se nos sistemas de corretores e transportadoras por meio de e-mails falsos e links fraudulentos. Uma vez dentro, eles publicam listagens fraudulentas em plataformas digitais, enganando transportadoras legítimas e desviando remessas. O FBI recomenda que as empresas verifiquem todos os pedidos de remessa por canais secundários e implementem autenticação multifatorial. Além disso, as vítimas devem registrar queixas no Internet Crime Complaint Center (IC3) e na polícia local. O relatório de crimes cibernéticos de 2025 do FBI revelou mais de 1 milhão de queixas, totalizando quase US$ 21 bilhões em perdas relacionadas a crimes cibernéticos.

Campanha Maliciosa Alvo de Administradores e Engenheiros de TI

Em março de 2026, o Atos Threat Research Center (TRC) identificou uma campanha maliciosa sofisticada que visa contas profissionais de alto privilégio, como administradores de empresas e engenheiros de DevOps. A operação utiliza técnicas avançadas, como envenenamento de SEO e uma arquitetura de distribuição em duas etapas via GitHub, para enganar as vítimas. Inicialmente, os usuários são direcionados a um repositório ‘fachada’ otimizado para SEO, que parece legítimo, mas redireciona para um segundo repositório que contém o malware disfarçado de ferramentas administrativas populares. Essa estratégia permite que os atacantes mantenham a visibilidade nos resultados de busca, mesmo após possíveis intervenções. Além disso, a campanha implementa um controle de comando e controle descentralizado utilizando contratos inteligentes na blockchain Ethereum, o que aumenta a resiliência da infraestrutura maliciosa. A análise técnica revela que a campanha continua ativa e evoluindo, com variantes do malware sendo identificadas. A complexidade e a persistência dessa ameaça destacam a necessidade de vigilância contínua e medidas de mitigação eficazes por parte das equipes de segurança cibernética.

Framework de backdoor DEEPDOOR ameaça segurança cibernética

Pesquisadores de cibersegurança revelaram detalhes sobre um novo framework de backdoor chamado DEEP#DOOR, desenvolvido em Python, que permite acesso persistente e coleta de informações sensíveis de sistemas comprometidos. O ataque se inicia com a execução de um script em lote que desativa controles de segurança do Windows e extrai um payload Python embutido. A distribuição do malware ocorre, principalmente, através de phishing, embora ainda não se saiba a extensão das infecções. O malware se comunica com um serviço de tunelamento, permitindo ao operador executar comandos remotamente e realizar atividades de espionagem, como captura de tela, acesso à webcam e roubo de credenciais. Além disso, DEEP#DOOR possui várias técnicas de evasão de detecção, dificultando a resposta a incidentes. O uso de um serviço de tunelamento público para comando e controle elimina a necessidade de infraestrutura dedicada, tornando a detecção ainda mais desafiadora. A modularidade do framework sugere que diferentes atores de ameaças podem adaptá-lo para diversos fins, o que representa um risco crescente para a segurança cibernética.

Novas táticas de cibersegurança e incidentes alarmantes

A semana trouxe à tona diversas táticas de cibersegurança preocupantes. Autoridades canadenses prenderam três homens por operar um dispositivo SMS blaster, que simula torres de celular para enviar mensagens de phishing a usuários, coletando informações pessoais. Além disso, um ataque à cadeia de suprimentos foi identificado, onde um pacote npm falso, que se passava por TanStack, exfiltrava variáveis de ambiente dos desenvolvedores durante a instalação. Outro ponto alarmante é a venda legal de dados de usuários por extensões de navegador, com 80 extensões coletando e revendendo informações de 6,5 milhões de usuários. A análise também revelou a exposição de 1,8 milhões de servidores RDP e 1,6 milhões de servidores VNC na internet, muitos dos quais estão vulneráveis a ataques. A situação é crítica, com a necessidade de ações imediatas para mitigar riscos e proteger dados sensíveis.

Operação internacional desmantela fraudes em investimentos em criptomoedas

Uma operação conjunta entre autoridades dos EUA e da China resultou na prisão de pelo menos 276 suspeitos e no fechamento de nove centros de fraude em investimentos em criptomoedas. A ação, liderada pela Polícia de Dubai, focou em redes criminosas que operavam esquemas de ‘pig-butchering’, onde golpistas criam laços de confiança com as vítimas através de amizades ou romances falsos, levando-as a plataformas de investimento fraudulentas que esvaziam suas contas. Os documentos judiciais revelam que as vítimas perderam imediatamente o controle dos fundos transferidos, que eram lavados por meio de contas de criptomoedas adicionais. Entre os presos, destaca-se Thet Min Nyi, acusado de ser gerente de uma das operações fraudulentas. A operação também levou à prisão de outros indivíduos ligados a diferentes grupos de fraude. O FBI identificou várias vítimas nos EUA, com perdas que somam milhões de dólares. Em 2025, a fraude em investimentos representou 49% de todos os incidentes relacionados a golpes, resultando em perdas de US$ 8,6 bilhões. A criação da Scam Center Strike Force pelos EUA visa desmantelar redes de fraudes em criptomoedas, refletindo a crescente preocupação com a segurança cibernética nesse setor.

Google corrige falha crítica no Gemini CLI que permite execução remota de comandos

O Google anunciou a correção de uma vulnerabilidade de gravidade máxima no pacote npm ‘@google/gemini-cli’ e no fluxo de trabalho ‘google-github-actions/run-gemini-cli’, que poderia permitir a execução de comandos arbitrários em sistemas host. Segundo a Novee Security, a falha permitia que um atacante externo não privilegiado forçasse o carregamento de conteúdo malicioso como configuração do Gemini, resultando em execução de comandos diretamente no sistema host, antes mesmo da inicialização do sandbox do agente. A vulnerabilidade, que não possui um identificador CVE, apresenta uma pontuação CVSS de 10.0 e afeta versões específicas do Gemini CLI. O Google destacou que o impacto é limitado a fluxos de trabalho que utilizam o Gemini CLI em modo headless, e recomenda que os usuários revisem suas configurações para garantir que apenas pastas confiáveis sejam utilizadas. Além disso, a empresa está implementando medidas para reforçar a lista de permissões de ferramentas quando o Gemini CLI é configurado para rodar em modo –yolo, evitando que entradas não confiáveis possam levar à execução remota de código. O artigo também menciona uma vulnerabilidade no Cursor, uma ferramenta de desenvolvimento, que poderia resultar em execução de código arbitrário devido a uma interação de recursos no Git.

Vulnerabilidade de escalonamento de privilégios no Linux pode permitir acesso root

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Linux, identificada como CVE-2026-31431, que permite a um usuário local não privilegiado obter acesso root ao sistema. Nomeada ‘Copy Fail’, essa falha de escalonamento de privilégios local (LPE) foi descoberta nas versões do kernel Linux desde 2017 e está relacionada a um erro lógico no subsistema criptográfico do kernel, especificamente no módulo algif_aead. A exploração bem-sucedida da vulnerabilidade pode ser realizada através de um simples script Python de 732 bytes, que manipula a cache de páginas de arquivos executáveis setuid. Embora a vulnerabilidade não seja explorável remotamente, ela pode ser utilizada por qualquer usuário local para corromper a cache de página de um binário setuid, afetando potencialmente todas as distribuições Linux, incluindo Amazon Linux, RHEL, SUSE e Ubuntu. A gravidade da falha é elevada, com um CVSS de 7.8, e sua exploração é facilitada pela portabilidade e simplicidade do ataque, que não requer condições de corrida ou offsets de kernel. As distribuições Linux já emitiram avisos sobre a vulnerabilidade, e a comunidade de segurança está em alerta para suas implicações.

Pacotes npm da SAP comprometidos em ataque à cadeia de suprimentos

Pesquisadores de segurança relataram que múltiplos pacotes npm oficiais da SAP foram comprometidos em um ataque à cadeia de suprimentos, atribuído ao grupo TeamPCP. Os pacotes afetados incluem @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service e mbt, que são utilizados no desenvolvimento de aplicações na nuvem. A modificação maliciosa incluiu um script ‘preinstall’ que, ao ser executado, baixava um runtime JavaScript e executava um payload ofuscado para roubar credenciais e tokens de autenticação de sistemas de desenvolvedores. O malware visava informações sensíveis, como tokens do npm e GitHub, chaves SSH, credenciais de nuvem e segredos de pipelines CI/CD. Além disso, o malware tentava extrair segredos diretamente da memória dos runners de CI, burlando medidas de segurança. Os dados coletados eram criptografados e enviados para repositórios públicos do GitHub, com descrições que remetiam a ataques anteriores. A origem da violação ainda é desconhecida, mas há indícios de que um token npm pode ter sido exposto devido a uma configuração inadequada em um job do CircleCI. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento.

Hackers exploram uploads de SVG no DotNetNuke para comprometer servidores

Um novo ataque cibernético tem explorado uma vulnerabilidade crítica no sistema de gerenciamento de conteúdo DotNetNuke (DNN), afetando mais de 750 mil sites globalmente. A falha, identificada como CVE-2026-40321, permite que hackers façam upload de arquivos SVG maliciosos que contêm código JavaScript. Quando um usuário administrador clica nesse arquivo, o código é executado, possibilitando que o invasor escreva um backdoor diretamente no servidor. O ataque se aproveita de uma vulnerabilidade de cross-site scripting (XSS), que não é bloqueada pelos filtros de conteúdo do DNN. Uma vez que o backdoor é instalado, o atacante pode executar comandos, roubar dados ou desativar ferramentas de segurança. A gravidade da situação é acentuada pelo fato de que a defesa tradicional, como antivírus e firewalls, pode não detectar ou bloquear esse tipo de ataque, uma vez que ele utiliza tráfego HTTP legítimo. Embora exista um patch disponível, é crucial que os administradores revisem suas políticas de registro de usuários e considerem desabilitar uploads de arquivos desnecessários para mitigar riscos futuros.

Polícia Ucraniana prende hackers que roubaram 610 mil contas do Roblox

A polícia da Ucrânia prendeu três indivíduos envolvidos em um esquema de hacking que comprometeu mais de 610 mil contas do jogo Roblox, resultando em um lucro de aproximadamente 225 mil dólares. As prisões ocorreram em Lviv, após a realização de dez buscas em locais relacionados aos suspeitos, onde foram apreendidos 35 mil dólares em dinheiro, 37 celulares, 11 computadores de mesa, sete laptops, cinco tablets e quatro pen drives. Embora a polícia não tenha especificado a plataforma de jogo inicialmente, o Escritório do Procurador Geral confirmou que as contas afetadas pertenciam ao Roblox. Os hackers, com idades entre 19 e 22 anos, utilizavam malware disfarçado de ferramenta de aprimoramento de jogos para roubar credenciais de login dos usuários. As contas roubadas eram categorizadas por valor e vendidas em um site russo e em comunidades online fechadas. Os acusados enfrentam penas de até 15 anos de prisão por roubo e interferência não autorizada em sistemas de TI. A investigação continua para identificar outros possíveis cúmplices e vítimas.

Hackers exploram vulnerabilidades no Qinglong para implantar criptomineradores

Pesquisadores da Snyk alertaram sobre a exploração de duas vulnerabilidades de bypass de autenticação na ferramenta de agendamento de tarefas de código aberto Qinglong. A exploração começou em fevereiro, antes da divulgação pública das falhas, afetando versões 2.20.1 e anteriores. As vulnerabilidades, identificadas como CVE-2026-3965 e CVE-2026-4047, permitem que atacantes contornem a autenticação e executem código remotamente. A primeira falha expõe endpoints administrativos protegidos através de uma regra de reescrita mal configurada, enquanto a segunda permite que caminhos de URL sejam tratados de forma insensível a maiúsculas e minúsculas, possibilitando o acesso não autorizado. Desde 7 de fevereiro, os atacantes têm implantado criptomineradores em servidores expostos, utilizando um processo oculto chamado ‘.fullgc’ para evitar detecções. A Snyk observou que a resposta dos mantenedores do Qinglong foi lenta, com um patch efetivo só sendo disponibilizado em 1º de março. A situação destaca a importância de manter sistemas atualizados e monitorar atividades suspeitas em ambientes de desenvolvimento.

Plugin Quick PagePost Redirect do WordPress com backdoor ativo

O plugin Quick Page/Post Redirect, utilizado em mais de 70.000 sites WordPress, foi comprometido por um backdoor que permite a injeção de código arbitrário. A vulnerabilidade foi descoberta por Austin Ginder, fundador da provedora de hospedagem WordPress Anchor, após alertas de segurança em 12 sites infectados. O plugin, que serve para criar redirecionamentos, teve versões oficiais (5.2.1 e 5.2.2) que incluíam um mecanismo de autoatualização oculto, apontando para um domínio de terceiros, anadnet[.]com. Embora esse mecanismo tenha sido removido em versões subsequentes, sites que ainda utilizam as versões afetadas receberam silenciosamente uma versão adulterada (5.2.3) que introduziu um backdoor passivo. Esse backdoor é ativado apenas para usuários não logados, dificultando a detecção por administradores. O verdadeiro risco reside na capacidade de execução de código arbitrário, que permanece latente, pois o subdomínio malicioso não está resolvendo atualmente, mas ainda está ativo. A recomendação para os usuários afetados é desinstalar o plugin e aguardar uma versão limpa (5.2.4) do WordPress.org. Ginder também fez um apelo para que os responsáveis pelo backdoor publiquem um manifesto de atualização que force a remoção do código malicioso.

Hackers da ShinyHunters vazam dados de 1,4 milhão de usuários da Udemy

O grupo hacker ShinyHunters anunciou o vazamento de dados de mais de 1,4 milhão de usuários da plataforma de ensino digital Udemy. O incidente ocorreu após a empresa se recusar a negociar com os cibercriminosos, que haviam encontrado uma vulnerabilidade na plataforma. Os dados vazados incluem informações pessoais como nomes, endereços, números de telefone e detalhes de pagamento. Aproximadamente 56% dos e-mails vazados já haviam sido expostos em incidentes anteriores. Com cerca de 77 milhões de usuários cadastrados, o vazamento representa um risco significativo de fraudes e ataques direcionados, como spear-phishing. O ShinyHunters é conhecido por invadir diversas organizações, e a Udemy, que recentemente se uniu à Coursera, agora enfrenta sérias consequências em termos de segurança e reputação. O site Have I Been Pwned (HIBP) já adicionou os e-mails vazados ao seu catálogo, alertando os usuários sobre a exposição de seus dados.

Ataques de ransomware no setor de saúde aumentam em 2026

No primeiro trimestre de 2026, foram registrados 120 ataques de ransomware em hospitais e provedores de saúde, além de 81 ataques a empresas do setor, como fabricantes de dispositivos médicos e provedores de tecnologia. Embora os ataques a provedores de saúde tenham diminuído em 15% em relação ao trimestre anterior, os ataques a empresas de saúde aumentaram 35%, refletindo a lucratividade contínua para os hackers. Um ataque significativo ocorreu no University of Mississippi Medical Center, que resultou na paralisação de clínicas por um mês. Dados sensíveis de 131.700 pessoas foram comprometidos em um ataque ao Nippon Medical School Musashi Kosugi Hospital no Japão, e 92.000 pessoas foram notificadas sobre um ataque ao Hospital Caribbean Medical Center em Porto Rico. Os grupos de ransomware mais ativos foram Qilin e The Gentlemen, com Qilin liderando em ataques confirmados. O relatório destaca a necessidade urgente de medidas de segurança robustas no setor de saúde, que continua sendo um alvo atrativo para cibercriminosos.