Cibersegurança

Um ator de ameaça de língua russa lançou uma campanha de phishing em larga escala, utilizando mais de 4.300 domínios registrados desde o início de 2025. O objetivo é fraudar indivíduos que planejam viagens, disfarçando-se como grandes plataformas de hotéis e reservas. A infraestrutura do ataque adota convenções de nomenclatura de domínio consistentes, incorporando palavras-chave como ‘confirmação’, ‘reserva’ e ‘verificação de cartão’, além de referências a hotéis de luxo para aumentar a credibilidade. O kit de phishing é dinâmico, personalizando cada página com base em um identificador único na URL, conhecido como ‘AD_CODE’, que ativa uma marcação em tempo real correspondente ao site falsificado. Os e-mails maliciosos são enviados sob a aparência de solicitações de feedback, levando as vítimas a clicar em links que as redirecionam para sites de phishing. Os domínios são registrados em blocos, utilizando gTLDs como .world e .help, e a campanha se expande com iscas traduzidas em 43 idiomas. A análise do site de phishing revela comentários em russo, ligando a campanha a círculos cibercriminosos de língua russa. A segurança deve monitorar domínios com palavras-chave de viagem e os usuários devem ser cautelosos com confirmações de reservas inesperadas.

Uma nova vulnerabilidade 0-day no Kernel do Windows, identificada como CVE-2025-62215, está sendo ativamente explorada para escalonamento de privilégios. Publicada em 11 de novembro de 2025, a falha é classificada como importante e resulta da execução concorrente de código que utiliza um recurso compartilhado sem a devida sincronização, caracterizando uma condição de corrida. Além disso, a vulnerabilidade envolve gerenciamento inadequado de memória, criando um cenário de ‘double free’ que permite que atacantes escalem privilégios ao serem bem-sucedidos na exploração.

No dia 12 de novembro de 2025, o Google apresentou uma nova tecnologia chamada Private AI Compute, que visa processar consultas de inteligência artificial (IA) em uma plataforma segura na nuvem. A empresa afirma que essa tecnologia desbloqueia a velocidade e o poder dos modelos de nuvem Gemini para experiências de IA, garantindo que os dados pessoais dos usuários permaneçam privados e inacessíveis, nem mesmo ao Google.

O Private AI Compute é descrito como um ’espaço seguro e fortificado’ para o processamento de dados sensíveis, utilizando unidades de processamento de tensor Trillium (TPUs) e enclaves de inteligência Titanium (TIE). Essa infraestrutura é projetada para aproveitar a velocidade computacional da nuvem, mantendo as garantias de segurança e privacidade do processamento local.

Um novo relatório da Cyble Research and Intelligence Labs (CRIL) revela uma campanha de phishing em larga escala que utiliza arquivos HTML com JavaScript embutido para roubar credenciais de usuários. Ao invés de redirecionar as vítimas para URLs maliciosas, os hackers enviam e-mails com anexos que imitam páginas de login da Adobe e Microsoft. Esses arquivos, que aparentam ser comunicações comerciais legítimas, como solicitações de cotações, contêm um prompt central para login que coleta informações de acesso e as envia para bots controlados pelos atacantes via Telegram.

Pesquisadores de cibersegurança identificaram uma nova onda de ataques do grupo APT-C-08, também conhecido como BITTER, que utiliza uma vulnerabilidade de travessia de diretórios no WinRAR (CVE-2025-6218). Este grupo, vinculado a um estado do Sul da Ásia, é conhecido por suas campanhas de espionagem direcionadas a instituições governamentais, de defesa e acadêmicas. A falha, presente nas versões 7.11 e anteriores do WinRAR, permite que atacantes contornem limites normais de diretórios durante a extração de arquivos. Ao manipular caminhos de arquivos, os invasores conseguem extrair arquivos maliciosos em diretórios protegidos do sistema da vítima.

Uma vulnerabilidade crítica no gerenciador de arquivos Monsta FTP foi descoberta pela empresa de cibersegurança watchTowr, permitindo que hackers realizassem uploads de arquivos sem autenticação. Essa falha, identificada como CVE-2025-34299, possibilita a execução de códigos maliciosos em servidores web, afetando tanto usuários privados quanto instituições financeiras. A vulnerabilidade foi encontrada em versões anteriores à 2.10.4 e se mostrou grave, pois permitia que invasores salvassem arquivos em qualquer local do servidor, comprometendo a segurança de aproximadamente 5.000 sessões FTP disponíveis na internet. A Monsta FTP foi notificada em agosto de 2025 e lançou um patch de correção na versão 2.11.3, recomendando que todos os usuários atualizassem imediatamente para evitar invasões. A situação destaca a importância de manter softwares atualizados e a necessidade de vigilância constante em relação a vulnerabilidades conhecidas.

Um relatório da Tenable Research revelou sete falhas de segurança na plataforma ChatGPT da OpenAI, que podem ser exploradas por cibercriminosos para roubar dados dos usuários e até controlar o chatbot. A principal vulnerabilidade identificada é a ‘injeção de prompt’, onde hackers enviam instruções maliciosas ao ChatGPT sem que o usuário perceba. Os especialistas demonstraram duas formas de ataque: a primeira envolve a inserção de um comentário malicioso em um blog, que pode ser ativado quando o usuário pede um resumo ao ChatGPT. A segunda é um ataque de clique zero, onde o hacker cria um site que, ao ser indexado pelo ChatGPT, pode comprometer o usuário sem qualquer interação. Além disso, a falha de ‘injeção de memória’ permite que comandos maliciosos sejam salvos no histórico do usuário, possibilitando o roubo de dados sensíveis em interações futuras. A OpenAI foi notificada sobre essas vulnerabilidades, que afetam os modelos ChatGPT 4o e GPT-5, mas ainda não há informações sobre correções.

O uso de spywares por governos para monitorar indivíduos, como jornalistas e ativistas, tem se tornado uma prática comum em diversas nações. Embora esses softwares sejam frequentemente justificados como ferramentas de combate ao crime e ao terrorismo, evidências apontam que muitos alvos são inocentes. Um exemplo recente é o caso de um consultor político italiano que foi espionado pelo spyware Paragon. Especialistas, como Eva Galperin da Electronic Frontier Foundation, destacam que a facilidade de uso desses softwares permite abusos, uma vez que agentes governamentais podem simplesmente inserir um número de telefone e iniciar a vigilância. Países como Arábia Saudita, Emirados Árabes Unidos, Itália e Marrocos têm sido citados por direcionar suas ferramentas de espionagem contra jornalistas e opositores. Apesar de alguns avanços, como a Paragon rompendo laços com o governo italiano, a falta de regulamentação e transparência continua a ser um desafio. A situação exige uma abordagem global para mitigar os riscos associados ao uso de spywares, especialmente em contextos onde os direitos humanos são frequentemente violados.

A Microsoft anunciou a descoberta de um novo tipo de ataque cibernético denominado ‘Whisper Leak’, que consegue expor os tópicos discutidos em chats com chatbots de IA, mesmo quando as conversas estão totalmente criptografadas. A pesquisa da empresa indica que atacantes podem analisar o tamanho e o tempo dos pacotes criptografados trocados entre um usuário e um modelo de linguagem, permitindo inferir o conteúdo das discussões. Embora a criptografia proteja o conteúdo das mensagens, a vulnerabilidade reside na forma como os modelos de linguagem enviam respostas, transmitindo dados de forma incremental. Isso cria padrões que podem ser analisados por invasores, permitindo deduzir informações sensíveis. Após a divulgação, empresas como OpenAI e Mistral implementaram medidas para mitigar o problema, como a adição de sequências de texto aleatórias nas respostas. A Microsoft recomenda que os usuários evitem discutir assuntos sensíveis em redes Wi-Fi públicas e utilizem VPNs. Além disso, a pesquisa destaca que muitos modelos de linguagem abertos ainda são vulneráveis a manipulações, especialmente em conversas mais longas, levantando preocupações sobre a segurança das plataformas de chat de IA.

Golpistas estão aproveitando a esperança de usuários de iPhone que perderam seus dispositivos, enviando mensagens de phishing que se disfarçam como notificações do serviço ‘Find My’ da Apple. Essas mensagens afirmam que o iPhone perdido foi encontrado, levando as vítimas a um site falso que coleta credenciais do Apple ID. O golpe é sofisticado, utilizando detalhes precisos sobre o dispositivo, como modelo e cor, para parecer legítimo. A Swiss National Cyber Security Centre (NCSC) alerta que essa prática não só visa roubar informações pessoais, mas também remover o bloqueio de ativação do aparelho, permitindo que os golpistas revendam o dispositivo. A Apple já informou que nunca entra em contato por SMS ou e-mail para relatar a localização de um dispositivo perdido. Para se proteger, os usuários devem ativar o Modo Perdido pelo iCloud, manter seus cartões SIM seguros e evitar expor informações pessoais na tela de bloqueio. O uso de software antivírus e a ativação de firewalls também são recomendados para reduzir a exposição a ameaças online.

O Habib Bank AG Zurich anunciou hoje que detectou acesso não autorizado à sua rede corporativa. Em 5 de novembro de 2025, o grupo de ransomware Qilin listou o banco em seu site de vazamento de dados, alegando ter roubado 2,56 TB de informações. Apesar da gravidade da situação, o banco afirmou que seus serviços bancários permanecem operacionais e que até o momento não foi identificado acesso persistente. A instituição não confirmou se pagou resgate ou como os atacantes conseguiram invadir sua rede. A equipe do banco, apoiada por especialistas em cibersegurança, está trabalhando para avaliar e mitigar o impacto do incidente. O grupo Qilin, baseado na Rússia, é conhecido por realizar ataques por meio de e-mails de phishing e já reivindicou 792 ataques de ransomware em 2025, afetando principalmente o setor financeiro. O aumento de ataques a instituições financeiras levanta preocupações sobre a segurança de dados e a conformidade com a LGPD no Brasil, uma vez que o setor bancário é um alvo frequente de cibercriminosos.

Pesquisadores de segurança cibernética descobriram semelhanças entre um malware bancário chamado Coyote e um novo programa malicioso denominado Maverick, que está sendo disseminado via WhatsApp. Ambos os malwares, escritos em .NET, têm como alvo usuários e instituições financeiras no Brasil, apresentando funcionalidades semelhantes, como a capacidade de monitorar aplicativos bancários e se propagar através do WhatsApp Web. O Maverick, documentado pela Trend Micro, é atribuído a um ator de ameaças conhecido como Water Saci e utiliza um malware auto-propagante chamado SORVEPOTEL, que entrega um arquivo ZIP contendo o payload do Maverick. Este malware monitora abas de navegador em busca de URLs de instituições financeiras e pode coletar informações do sistema e exibir páginas de phishing para roubo de credenciais. A Sophos levantou a possibilidade de que Maverick seja uma evolução do Coyote, e a Kaspersky confirmou sobreposições de código entre os dois. A campanha também se destaca por sua capacidade de contornar a autenticação do WhatsApp Web, permitindo acesso imediato às contas dos usuários. Com mais de 148 milhões de usuários ativos no Brasil, a popularidade do WhatsApp torna essa ameaça particularmente preocupante.

Uma nova campanha de phishing está afetando usuários do Booking.com e de hotéis parceiros, com criminosos comprometendo sistemas para roubar dados sensíveis. Desde abril de 2025, e-mails fraudulentos têm sido enviados, contendo links maliciosos que imitam a interface do Booking. Ao clicar, as vítimas são levadas a uma página falsa que solicita uma verificação bancária, resultando na instalação do trojan PureRAT, que permite controle remoto do dispositivo. Os hackers inicialmente visam funcionários dos hotéis para obter credenciais de login, expandindo o ataque para serviços como Airbnb e Expedia. Relatos de vítimas indicam que, além do pagamento oficial, muitos foram forçados a realizar um segundo pagamento para os criminosos. As credenciais roubadas também estão sendo vendidas em fóruns de crimes digitais, aumentando o risco de fraudes. Especialistas alertam para a gravidade da situação, que não só compromete dados pessoais, mas também pode impactar a conformidade com a LGPD.

Uma vulnerabilidade zero-day na biblioteca de processamento de imagem do sistema Android da Samsung permitiu que hackers instalassem spywares em celulares da linha Galaxy, especialmente no Oriente Médio. O malware, denominado Landfall, foi identificado pela Unit 42 da Palo Alto Networks e é capaz de gravar conversas, monitorar a localização, tirar fotos e roubar contatos. A falha, classificada como CVE-2025-21042, foi explorada entre meados de 2024 e abril de 2025, quando a Samsung lançou um patch para corrigir o problema. O spyware era disseminado através de negativos digitais (DNG) enviados pelo WhatsApp, atingindo principalmente usuários no Iraque, Irã, Marrocos e Turquia. A descoberta do Landfall sugere uma possível coordenação com ataques semelhantes em dispositivos iOS, indicando que agentes privados ou governamentais podem estar por trás das atividades maliciosas. A situação é alarmante, pois o malware é otimizado para dispositivos de alta gama da Samsung, como os modelos Galaxy S22, S23 e S24, e possui capacidades avançadas de reconhecimento e evasão.

A Polícia Federal (PF) do Brasil requisitou a extradição de oito indivíduos presos no exterior, envolvidos em um ciberataque que resultou no desvio de R$ 813 milhões através do sistema de pagamentos Pix. O ataque, que teve início em julho, foi direcionado à empresa C&M Software, responsável por serviços tecnológicos para instituições financeiras. A operação, denominada Magna Fraus, culminou na prisão de 21 pessoas, sendo que 13 foram detidas no Brasil e 8 no exterior, com a colaboração da Interpol. Os criminosos utilizaram técnicas avançadas para contornar os sistemas de segurança, dificultando o rastreamento das transações fraudulentas. Além das prisões, a PF apreendeu 15 veículos de luxo e bloqueou 26 imóveis, além de encontrar mais de R$ 1 milhão em criptomoedas. As autoridades consideram essa operação um marco no combate ao crime cibernético no Brasil, dada a magnitude do impacto no sistema de pagamentos instantâneos do país.

O grupo de hackers chinês FamousSparrow, conhecido por suas atividades de ciberespionagem, está de volta com novas ameaças, visando a América Latina. Após um período de inatividade entre 2022 e 2024, o grupo executou três ataques distintos em 2024, atingindo uma associação comercial nos EUA, um instituto de pesquisa no México e uma instituição governamental em Honduras. Os ataques têm como objetivo a distribuição de dois backdoors, SparrowDoor e ShadowPad, que representam um avanço em relação às versões anteriores, permitindo a paralelização de comandos. Os ataques foram realizados através da inserção de um web shell em servidores do Internet Information Services (IIS) da Microsoft, explorando versões desatualizadas do Windows Server e do Microsoft Exchange Server. O FamousSparrow, que ganhou notoriedade em 2021, é conhecido por desenvolver suas próprias ferramentas de ataque e por roubar informações confidenciais de diversas instituições. A descoberta de suas atividades renovadas levanta preocupações sobre a segurança de dados sensíveis em um contexto global cada vez mais vulnerável.

O governo do Reino Unido está considerando a implementação de uma proibição de pagamentos de resgates em casos de ransomware, visando proteger entidades públicas e infraestrutura crítica, como o NHS e escolas. A proposta inclui um regime de notificação obrigatória para empresas privadas que optarem por pagar resgates, com o objetivo de desestimular os ataques cibernéticos. No entanto, há preocupações de que essa medida possa redirecionar os ataques para o setor privado, aumentando a vulnerabilidade de pequenas e médias empresas, varejistas e organizações sem fins lucrativos. Uma pesquisa revelou que 75% dos líderes empresariais no Reino Unido admitiriam pagar um resgate, mesmo com a proibição, se isso significasse a sobrevivência da empresa. A proposta também levanta questões éticas e legais, já que o pagamento de resgates pode ser considerado crime. Para mitigar esses riscos, as empresas devem adotar um modelo de ’empresa mínima viável’ (MVC), focando na continuidade das operações essenciais durante um ataque cibernético e investindo em mecanismos avançados de proteção de dados. A preparação para um cenário de ataque é crucial, uma vez que o pagamento de resgates não garante a recuperação dos dados e pode aumentar a probabilidade de novos ataques.

O recente roubo no Museu do Louvre expôs falhas de segurança digital em instituições culturais, revelando que a senha do sistema de câmeras de vigilância era simplesmente ’louvre’. Essa vulnerabilidade, já sinalizada por especialistas em segurança, gerou preocupações sobre a proteção do patrimônio cultural. Em resposta, a empresa suíça Proton anunciou que fornecerá gratuitamente por dois anos seu serviço Proton Pass Professional para museus, bibliotecas e galerias em todo o mundo. O Proton Pass é um gerenciador de senhas que ajuda a criar e gerenciar senhas fortes, além de monitorar possíveis vazamentos de dados. A iniciativa visa fortalecer a segurança digital dessas instituições, que frequentemente investem em segurança física, mas negligenciam a proteção de suas infraestruturas digitais. A oferta, válida até o final de 2025, é um chamado para que o setor cultural priorize a segurança digital com a mesma seriedade que aplica à proteção de suas coleções físicas.

O grupo de ciberespionagem conhecido como Ferocious Kitten tem atuado de forma encoberta desde 2015, focando em dissidentes e ativistas persas no Irã. Recentemente, o grupo ganhou destaque por utilizar uma ferramenta de vigilância chamada MarkiRAT, que é distribuída através de e-mails de spearphishing contendo documentos maliciosos do Microsoft Office. Esses documentos exploram vulnerabilidades, como a CVE-2021-40444, para implantar o malware. Uma vez ativo, o MarkiRAT registra teclas digitadas, captura dados da área de transferência, realiza buscas em arquivos e rouba credenciais, especialmente de arquivos KeePass. O malware se destaca por suas táticas de persistência, se infiltrando em aplicativos legítimos como Telegram e Chrome, garantindo que o software malicioso seja executado sempre que o usuário inicia esses programas. Além disso, utiliza técnicas de engenharia social para disfarçar arquivos executáveis como imagens ou vídeos, dificultando a detecção. O Ferocious Kitten demonstra agilidade operacional, adaptando-se rapidamente e priorizando a coleta de dados em vez de ataques disruptivos. Organizações são aconselhadas a testar suas defesas contra as táticas em evolução desse grupo, especialmente em plataformas de simulação de segurança.

Um novo trojan de acesso remoto para Android (RAT) chamado KomeX foi identificado em fóruns de cibercrime, sendo promovido por um ator de ameaças conhecido como Gendirector. Baseado no código BTMOB, o KomeX é oferecido em diferentes pacotes de assinatura, refletindo a evolução do malware móvel em um mercado subterrâneo orientado por serviços. O malware promete controle total do dispositivo infectado, permitindo a execução de funções como ativação de câmera e microfone, interceptação de SMS, acesso a arquivos e rastreamento de geolocalização. Um dos recursos mais destacados é a capacidade de transmitir a tela do dispositivo infectado em tempo real, com até 60 quadros por segundo. O KomeX é comercializado em três níveis de assinatura: $500 por um mês, $1.200 por acesso vitalício e $3.000 pelo código-fonte completo. Essa estrutura de preços sugere que o desenvolvedor visa não apenas operadores de cibercrime, mas também outros atores que desejam rebrandear ou expandir a funcionalidade do RAT. Especialistas em segurança alertam que, se operacional, o KomeX pode ampliar significativamente o alcance de campanhas de espionagem móvel, recomendando que os usuários evitem a instalação de aplicativos de fontes não verificadas e mantenham atualizações de segurança regulares.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan de acesso remoto para Android, chamado Fantasy Hub, que está sendo comercializado em canais de Telegram de língua russa sob um modelo de Malware-as-a-Service (MaaS). O malware permite controle total do dispositivo e espionagem, coletando mensagens SMS, contatos, registros de chamadas, imagens e vídeos, além de interceptar e manipular notificações. O Fantasy Hub é projetado para facilitar a vida de atacantes iniciantes, oferecendo documentação e um modelo de assinatura gerido por bot. O preço varia de $200 por semana a $4,500 por ano. O trojan se disfarça como uma atualização do Google Play e abusa de permissões padrão de SMS para obter acesso a dados sensíveis. A ameaça é particularmente preocupante para empresas que adotam o modelo BYOD (Bring Your Own Device) e para usuários de aplicativos bancários. A Zscaler revelou um aumento de 67% nas transações de malware Android, destacando a crescente sofisticação de trojans bancários e spyware. O Fantasy Hub representa uma nova geração de malware que combina técnicas de engenharia social com funcionalidades avançadas, como streaming em tempo real de câmera e microfone.

Pesquisadores de cibersegurança descobriram um pacote npm malicioso chamado “@acitons/artifact”, que faz typosquatting do legítimo “@actions/artifact”. O objetivo é comprometer repositórios pertencentes ao GitHub. A análise da Veracode revelou que seis versões do pacote, de 4.0.12 a 4.0.17, continham um script pós-instalação que baixava e executava malware. Embora a versão mais recente disponível no npm seja 4.0.10, o autor do pacote, identificado como blakesdev, removeu as versões comprometidas. O pacote foi carregado em 29 de outubro de 2025 e acumulou 31.398 downloads semanais, totalizando 47.405 downloads. Além disso, foi identificado outro pacote malicioso, “8jfiesaf83”, que também foi removido, mas teve 1.016 downloads. O script pós-instalação do pacote malicioso baixa um binário chamado “harness” de uma conta do GitHub que foi excluída, e executa um arquivo JavaScript que verifica variáveis do GitHub Actions, exfiltrando dados para um arquivo de texto em um subdomínio do GitHub. A Veracode classificou o ataque como direcionado, focando em repositórios do GitHub e uma conta de usuário sem atividade pública, possivelmente para testes.

Os ataques de cadeia de suprimentos habilitados por inteligência artificial (IA) cresceram 156% no último ano, evidenciando a falência das defesas tradicionais. O malware gerado por IA apresenta características inovadoras, como ser polimórfico, consciente do contexto e camuflado semanticamente, o que dificulta sua detecção. Casos reais, como a violação da 3CX que afetou 600 mil empresas, demonstram a gravidade da situação. O tempo médio para identificar uma violação aumentou para 276 dias, e as ferramentas de segurança tradicionais falham em responder a ameaças que se adaptam ativamente. Novas estratégias de defesa estão sendo implementadas, incluindo a segurança ciente de IA e a análise de comportamento. Além disso, a conformidade regulatória, como a Lei de IA da UE, impõe penalidades severas por violações. A situação exige ação imediata das organizações para se protegerem contra essas ameaças emergentes.

O malware GootLoader voltou a ser uma ameaça significativa, conforme relatado pela Huntress. Desde 27 de outubro de 2025, foram observadas três infecções, com duas delas resultando em invasões diretas e comprometimento de controladores de domínio em menos de 17 horas após a infecção inicial. A nova versão do GootLoader utiliza fontes WOFF2 personalizadas para ofuscar nomes de arquivos, dificultando a análise estática. O malware explora endpoints de comentários do WordPress para entregar cargas úteis em arquivos ZIP criptografados com XOR, cada um com chaves únicas. Além disso, a técnica de modificação do arquivo ZIP permite que ele se apresente como um arquivo .TXT inofensivo em ferramentas de análise, enquanto na verdade contém um arquivo JavaScript malicioso. O payload JavaScript é projetado para implantar um backdoor chamado Supper, que permite controle remoto e proxy SOCKS5. O uso de anúncios do Google para direcionar vítimas em busca de modelos legais para sites WordPress comprometidos também foi uma tática observada. A evolução do GootLoader demonstra que os atores de ameaças não precisam de exploits sofisticados, mas sim de ferramentas bem ofuscadas que atendem a seus objetivos.

O FBI prendeu três especialistas em cibersegurança acusados de realizar ataques de ransomware enquanto trabalhavam para a DigitalMint, uma empresa de Chicago que negocia resgates de ransomware. Os acusados, Kevin Tyler Martin, Ryan Clifford Goldberg e um terceiro não identificado, teriam iniciado suas atividades criminosas em maio de 2023, utilizando software malicioso para extorquir empresas, incluindo uma instituição médica na Flórida, que foi ameaçada a pagar US$ 10 milhões. Embora o grupo tenha conseguido roubar US$ 1,2 milhão, a investigação revelou que eles estavam por trás de vários ataques, incluindo tentativas contra uma empresa farmacêutica e um consultório médico na Califórnia. A DigitalMint afirmou estar cooperando com as investigações e demitiu os funcionários envolvidos por conduta não autorizada. As acusações incluem conspiração para interferir no comércio interestadual e dano intencional a computadores protegidos, destacando a gravidade da situação e a necessidade de vigilância constante no setor de cibersegurança.

Pesquisadores de cibersegurança da Mandiant descobriram uma vulnerabilidade crítica de zero-day na plataforma de compartilhamento de arquivos Triofox, da Gladinet, identificada como CVE-2025-12480. Desde 24 de agosto de 2025, o grupo de ameaças UNC6485 tem explorado essa falha para contornar controles de autenticação e executar códigos maliciosos com acesso em nível de sistema. O ataque ocorre em duas etapas: inicialmente, os invasores manipulam os cabeçalhos HTTP para se apresentarem como ’localhost’, permitindo acesso não autorizado a páginas de configuração restritas. A vulnerabilidade reside na função CanRunCriticalPage(), que não valida corretamente a origem das requisições. Após obter acesso, os atacantes criam uma conta de administrador e exploram uma segunda fraqueza no antivírus embutido do Triofox, redirecionando o caminho do scanner para um script malicioso. Isso resulta na execução automática do payload malicioso com privilégios de conta SYSTEM. A Mandiant identificou a intrusão em apenas 16 minutos, alertando para a necessidade de atualização imediata para a versão 16.7.10368.56560 ou posterior. As equipes de segurança devem auditar contas de administrador e monitorar tráfego SSH incomum para detectar compromissos em andamento.

Uma investigação de segurança revelou que 65% das 50 principais empresas de inteligência artificial (IA) do mundo, avaliadas em mais de 400 bilhões de dólares, expuseram credenciais sensíveis no GitHub. Essas exposições incluem chaves de API e tokens de autenticação, que podem permitir acesso direto aos sistemas das empresas. Os pesquisadores descobriram que os segredos não estavam apenas em repositórios ativos, mas também em forks deletados e contas pessoais de desenvolvedores. A pesquisa destacou que, embora algumas empresas como LangChain e ElevenLabs tenham rapidamente corrigido as vulnerabilidades, quase metade dos vazamentos não recebeu resposta. Para mitigar esses riscos, recomenda-se que as empresas implementem varreduras obrigatórias de segredos em todos os repositórios públicos e estabeleçam canais de divulgação de segurança desde o início. O gerenciamento eficaz de segredos é crucial para proteger os ativos valiosos das empresas de IA e garantir a continuidade da inovação no setor.

Pesquisadores da CyberProof e outras equipes de segurança revelaram uma onda de ataques que se espalham pelo WhatsApp, mostrando conexões operacionais e técnicas entre os trojans bancários Maverick e Coyote. Essas campanhas visam principalmente usuários brasileiros, utilizando comunicações legítimas para induzir as vítimas a baixar arquivos ZIP maliciosos. Um exemplo é o arquivo NEW-20251001_152441-PED_561BCF01.zip, que disfarça um atalho como PDF, mas executa uma sequência de comandos ofuscados.

Após a abertura do arquivo, um script PowerShell é ativado, que baixa um segundo payload em .NET, realizando verificações para evitar ambientes de análise. O malware se conecta a servidores de comando e controle, permitindo o roubo de dados e a hijack de sessões do WhatsApp Web. A persistência é garantida através da criação de arquivos em diretórios de inicialização, assegurando a reinfecção após reinicializações.

O malware ClickFix evoluiu e agora utiliza vídeos tutoriais para auxiliar os usuários no processo de infecção, aumentando a eficácia de ataques baseados em engenharia social. Pesquisadores da Push Security identificaram que o malware consegue detectar o sistema operacional da vítima e apresenta um contador que pressiona o usuário a agir rapidamente. A infecção geralmente promete soluções para problemas de computador ou falsas verificações de identidade, mas resulta na instalação de malwares, como ladrões de informação. A nova versão do ClickFix é capaz de esconder comandos maliciosos e copiá-los automaticamente para a Área de Transferência da vítima, reduzindo as chances de erro humano. Além disso, a campanha utiliza páginas falsas de verificação de CAPTCHA e malvertising em pesquisas Google para disseminar o malware. A evolução do ClickFix representa um risco significativo, pois pode escapar de proteções antivírus tradicionais, funcionando totalmente no navegador. Especialistas alertam que a ameaça pode se expandir para outros sistemas operacionais, como Linux e macOS, aumentando a necessidade de vigilância e proteção.

Especialistas em cibersegurança alertam para um aumento significativo de ataques de phishing direcionados a usuários das agendas do Google Workspace e Microsoft 365. Esses ataques, conhecidos como ICS phishing, utilizam convites falsos para eventos de calendário, que podem contornar as medidas de segurança das empresas. Mesmo que um e-mail com o convite seja colocado em quarentena, o evento ainda aparece na agenda do usuário, aumentando o risco de cliques em links maliciosos. Os cibercriminosos utilizam táticas como anexar QR Codes que redirecionam para malwares ou solicitar que a vítima ligue para números de telefone suspeitos. Para proteger suas contas, recomenda-se que os usuários ajustem as configurações de segurança de suas agendas, como permitir apenas convites de remetentes conhecidos e ativar a autenticação de dois fatores. A situação é preocupante, pois a visibilidade dos convites maliciosos na agenda pode levar a infecções de malware e roubo de credenciais.

O relatório de tendências de ameaças por e-mail do terceiro trimestre de 2025 da VIPRE revela um aumento alarmante de 13% nos e-mails maliciosos detectados em relação ao ano anterior. Analisando 1,8 bilhão de e-mails, os pesquisadores identificaram mais de 234 milhões de mensagens de spam, com 26 milhões sendo ativamente prejudiciais. As campanhas de coleta de credenciais e táticas avançadas de engenharia social foram os principais responsáveis por esse crescimento. O relatório destaca que o Outlook e o Gmail são os principais alvos, com mais de 90% das campanhas de phishing focadas nessas plataformas. Os atacantes utilizam links maliciosos em 65% dos casos, enquanto 31% envolvem anexos, principalmente PDFs. A engenharia social, especialmente a impersonificação de executivos, é uma tática comum, com 63% das tentativas de comprometimento de e-mail empresarial (BEC) focadas em CEOs. O uso de e-mails gerados por IA também aumentou, representando 57% das amostras de BEC. O relatório conclui que as defesas tradicionais não são mais suficientes, e as organizações devem investir em análise comportamental avançada e detecção baseada em IA para se proteger contra essas ameaças em evolução.

A equipe de pesquisa de ameaças da Socket identificou nove pacotes NuGet maliciosos que incorporam cargas destrutivas com ativação programada, representando uma ameaça significativa para desenvolvedores .NET e sistemas de controle industrial (ICS). Publicados sob o pseudônimo shanhai666 entre 2023 e 2024, esses pacotes utilizam padrões legítimos para ocultar códigos de sabotagem que podem encerrar aplicações ou corromper operações anos após a instalação. Cada pacote malicioso contém cerca de 20 linhas de lógica destrutiva em meio a milhares de linhas de funcionalidade legítima. Após datas de ativação predefinidas, como 8 de agosto de 2027 e 29 de novembro de 2028, há uma probabilidade de 20% de que o código chame Process.GetCurrentProcess().Kill(), resultando em falhas abruptas nas aplicações. O pacote mais perigoso, Sharp7Extend, ataca sistemas de comunicação Siemens S7 PLC, podendo interromper processos e sabotando operações de gravação sem que os operadores percebam erros visíveis. A campanha, que já acumulou quase 9.500 downloads, utiliza táticas de typosquatting e evasão de IA para evitar detecções automáticas, tornando a identificação e a atribuição de responsabilidade extremamente difíceis. As organizações são aconselhadas a auditar projetos imediatamente e a implementar ferramentas de verificação de dependências para mitigar esses riscos.

Pesquisadores de cibersegurança da Coreia do Sul confirmaram um novo ataque de remoção de dados remota que visa dispositivos Android, atribuído ao grupo de ameaça persistente avançada (APT) KONNI, vinculado à Coreia do Norte. O ataque utiliza o serviço Find My Device do Google para redefinir dispositivos e apagar dados de smartphones e tablets das vítimas. A campanha começou com ataques de spear-phishing, onde os atacantes se passaram por figuras confiáveis, como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse via KakaoTalk. Os atacantes conseguiram acesso persistente ao instalar arquivos MSI que continham scripts maliciosos. O malware, que inclui RATs como RemcosRAT e QuasarRAT, foi orquestrado através de uma infraestrutura de comando e controle (C2) hospedada no WordPress. Uma vez que as credenciais da conta do Google foram comprometidas, os atacantes puderam rastrear as localizações das vítimas em tempo real e emitir comandos de remoção de dados. Especialistas recomendam a mudança imediata de senhas e a ativação da autenticação em duas etapas para proteger contas do Google e prevenir abusos futuros.

A GlobalLogic, empresa de desenvolvimento de software, notificou 10.471 pessoas sobre um vazamento de dados ocorrido em julho de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados bancários, informações salariais, números de passaporte, nacionalidades, datas de nascimento, endereços de e-mail e números de telefone. Os hackers exploraram uma vulnerabilidade zero-day na suíte Oracle E-Business, utilizada pela empresa para gerenciar finanças e recursos humanos. O grupo de ransomware Clop, que já reivindicou responsabilidade por outros ataques semelhantes, não listou a GlobalLogic em seu site de vazamentos até o momento. A empresa não revelou a identidade dos atacantes nem se pagou um resgate. GlobalLogic está oferecendo monitoramento de crédito gratuito por 24 meses aos afetados. A vulnerabilidade explorada foi identificada pela Oracle em um aviso de segurança emitido em 4 de outubro de 2025. O acesso não autorizado foi detectado apenas em 9 de outubro de 2025, quase três meses após a invasão inicial. Este incidente destaca a crescente preocupação com a segurança cibernética, especialmente em relação a vulnerabilidades em softwares amplamente utilizados.

O grupo de ciberespionagem associado à Coreia do Norte, conhecido como Konni, foi identificado em uma nova onda de ataques que visam dispositivos Android e Windows, com o objetivo de roubo de dados e controle remoto. Os atacantes se disfarçaram como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse. Uma das táticas mais preocupantes é a exploração dos serviços de rastreamento da Google, permitindo que os invasores redefinam remotamente dispositivos Android, resultando na exclusão não autorizada de dados pessoais. O ataque foi detectado em setembro de 2025 e marca a primeira vez que o grupo utiliza funções legítimas para realizar redefinições remotas. Os atacantes também empregaram e-mails de spear-phishing, imitando entidades legítimas, para obter acesso a computadores e propagar malware através de sessões do aplicativo KakaoTalk. O malware, denominado EndRAT, permite controle total sobre os sistemas comprometidos, incluindo a exfiltração de credenciais do Google. Além disso, o grupo Lazarus foi mencionado por utilizar uma versão atualizada do malware Comebacker em campanhas de espionagem direcionadas a organizações de defesa e aeroespaciais. Essas atividades destacam a crescente sofisticação e a ameaça representada por grupos de ciberespionagem da Coreia do Norte.

A Mandiant, divisão de defesa contra ameaças da Google, identificou a exploração de uma vulnerabilidade crítica no Triofox, plataforma de compartilhamento de arquivos e acesso remoto da Gladinet. A falha, classificada como CVE-2025-12480 e com uma pontuação CVSS de 9.1, permite que atacantes contornem a autenticação e acessem páginas de configuração, possibilitando o upload e execução de códigos maliciosos. A exploração dessa vulnerabilidade foi observada desde 24 de agosto de 2025, quase um mês após a liberação de patches pela Gladinet. Este é o terceiro incidente de exploração ativa em Triofox neste ano, após outras duas falhas críticas. Os atacantes criaram uma nova conta de administrador nativa, utilizando-a para executar scripts maliciosos que baixavam e instalavam programas de acesso remoto, como Zoho Assist e AnyDesk. Para evitar detecções, foram utilizados túneis criptografados para comunicação com servidores de comando e controle. A Mandiant recomenda que os usuários do Triofox atualizem para a versão mais recente e auditem suas contas administrativas.

Um novo ataque cibernético está ameaçando dispositivos da Samsung, especialmente os modelos Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4, devido a uma vulnerabilidade crítica identificada como CVE-2025-21042. Essa falha, com uma classificação de severidade de 9.8/10, permite a execução remota de código malicioso, possibilitando que atacantes implantem o spyware ‘LandFall’ através de arquivos de imagem malformados enviados pelo WhatsApp. O spyware é capaz de roubar arquivos, gravar áudio, rastrear localização e acessar mensagens e contatos. Os alvos principais desse ataque estão localizados no Oriente Médio, com o grupo Stealth Falcon, baseado nos Emirados Árabes Unidos, sendo o suspeito por trás da campanha. Especialistas da Palo Alto Networks recomendam que os usuários da Samsung mantenham seus dispositivos atualizados e fiquem atentos a mensagens com anexos suspeitos. A falha foi encontrada na biblioteca libimagecodec.quram.so, parte do framework de processamento de imagens dos dispositivos Android da Samsung, e ainda não há informações sobre um patch disponível para corrigir essa vulnerabilidade.

Uma operação internacional chamada Chargeback desmantelou um esquema de fraude que afetou 4,3 milhões de pessoas em 193 países, resultando em um prejuízo estimado de mais de 300 milhões de euros (cerca de 1,8 bilhões de reais). As investigações, que contaram com a colaboração de autoridades de países como Alemanha, EUA, Canadá e outros, revelaram três redes criminosas que utilizavam dados de cartões de crédito para criar assinaturas falsas em sites de pornografia e serviços de streaming entre 2016 e 2021. Os criminosos, que se apresentavam como operadores de redes e gestores de risco, usaram a infraestrutura de quatro empresas de pagamento na Alemanha para lavar dinheiro. A operação resultou na prisão de 18 suspeitos, incluindo cinco executivos de empresas de pagamento. A polícia apreendeu bens avaliados em mais de 35 milhões de euros na Alemanha, além de veículos de luxo e criptomoedas em Luxemburgo. Este caso destaca a vulnerabilidade das plataformas de pagamento e a necessidade de medidas de segurança mais rigorosas para proteger os consumidores contra fraudes.

Pesquisadores da Check Point Research identificaram uma falha crítica no Microsoft Teams, conhecida como CVE-2024-38197, que permite a hackers falsificarem identidades e manipularem conversas. A vulnerabilidade foi reportada à Microsoft em março de 2024, mas a correção só foi implementada em outubro de 2025. Durante esse período, criminosos conseguiram alterar mensagens e notificações na plataforma, enganando usuários e comprometendo a segurança das comunicações corporativas. As táticas incluíam a edição de mensagens sem deixar rastros, o que dificultava a detecção de fraudes. Além disso, hackers podiam se passar por executivos e enviar notificações falsas, aumentando o risco de vazamento de informações sensíveis. Para mitigar esses riscos, as empresas devem adotar medidas de segurança, como a educação digital dos funcionários e a ativação da autenticação multifator. A falha representa um sério risco para a integridade das comunicações empresariais, especialmente em um ambiente onde o Teams é amplamente utilizado para interações corporativas.

O pesquisador de segurança Karl Biron, da Trustwave, lançou a ferramenta MAD-CAT (Meow Attack Data Corruption Automation Tool), uma utilidade baseada em Python que simula ataques destrutivos a bancos de dados, semelhantes aos que devastaram organizações em 2020. Disponível no GitHub, a ferramenta foca em seis plataformas de banco de dados críticas: MongoDB, Elasticsearch, Cassandra, Redis, CouchDB e Hadoop HDFS, que foram as mesmas comprometidas durante a campanha original dos ataques Meow.

Em 2025, investigações da ZenSec revelaram uma onda significativa de incidentes de ransomware explorando vulnerabilidades críticas na plataforma SimpleHelp Remote Monitoring and Management (RMM). As falhas, identificadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, permitiram que atacantes executassem código remotamente e assumissem controle total dos sistemas. Grupos de ransomware como Medusa e DragonForce aproveitaram essas vulnerabilidades para invadir Provedores de Serviços Gerenciados (MSPs) e se propagar para os sistemas de clientes. Apesar de patches estarem disponíveis, muitas organizações atrasaram sua implementação. Os atacantes desativaram ferramentas de segurança, roubaram dados e criptografaram sistemas, evidenciando como a confiança na cadeia de suprimentos pode amplificar o impacto. Medusa utilizou ferramentas como PDQ Deploy e RClone para distribuir payloads e exfiltrar dados, enquanto DragonForce focou na coleta de credenciais e na exfiltração usando Restic. Esses incidentes ressaltam a urgência de uma gestão rigorosa de patches nas dependências da cadeia de suprimentos.

O Google expandiu a funcionalidade Deep Research do modelo de IA Gemini, permitindo que ele acesse dados diretamente das contas de Gmail, Google Drive e Google Chat dos usuários. Essa atualização possibilita a integração de e-mails pessoais, documentos, planilhas, apresentações e conversas em relatórios de pesquisa abrangentes, combinando informações internas com dados da web. Essa nova capacidade visa facilitar a colaboração entre profissionais e equipes, permitindo, por exemplo, que análises de mercado sejam iniciadas com documentos compartilhados do Drive e discussões em chats. No entanto, essa integração levanta preocupações significativas de segurança cibernética, uma vez que usuários podem expor dados confidenciais, como estratégias empresariais e comunicações com clientes, ao ecossistema de processamento do Google. Especialistas em segurança alertam para riscos como ataques de injeção de prompt, onde entradas maliciosas podem manipular a IA para vazar informações privadas. A Google recomenda que os usuários habilitem a autenticação de dois fatores e revisem regularmente os logs de acesso. Antes de utilizar a Deep Research com dados sensíveis, as organizações devem realizar avaliações de segurança rigorosas e estabelecer políticas claras sobre quais fontes de dados podem ser compartilhadas com ferramentas de IA.

A Allianz UK é a mais recente organização a ser alvo de um ataque cibernético, explorando uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). Os atacantes conseguiram acesso ao sistema EBS da empresa, que gerencia produtos de seguros pessoais, como automóveis e residências. Embora a Allianz UK tenha confirmado a violação, não comentou sobre possíveis demandas de extorsão do grupo criminoso Clop. A empresa notificou o Information Commissioner’s Office, mas o regulador ainda não reconheceu publicamente a reclamação. Este incidente é distinto de um ataque anterior que afetou a Allianz Life, sua subsidiária americana, que comprometeu dados de 1,4 milhão de clientes em julho. A vulnerabilidade, identificada como CVE-2025-61882, possui uma pontuação crítica de 9.8 no CVSS e, segundo pesquisadores do Google, dezenas de organizações podem ter sido afetadas. O grupo Clop, conhecido por sua sofisticação, já havia se destacado em campanhas anteriores, como o ataque MOVEit MFT, que afetou milhões de indivíduos e milhares de organizações. Este novo ataque evidencia a continuidade das campanhas de exploração de zero-day, que se tornaram comuns no cibercrime.

O Relatório de Segurança de Navegadores 2025 revela que a maioria dos riscos relacionados a identidade, SaaS e inteligência artificial (IA) converge no navegador do usuário, criando uma nova superfície de ameaça. Com quase metade dos funcionários utilizando ferramentas de IA generativa (GenAI) fora da supervisão de TI, 77% deles colam dados em prompts de IA, sendo que 82% dessas colagens vêm de contas pessoais. Além disso, 99% dos usuários corporativos têm extensões instaladas, muitas das quais não são geridas adequadamente, aumentando o risco de vazamentos de dados. Os navegadores de IA, que integram modelos de linguagem diretamente na camada de navegação, também representam uma nova superfície de ataque, permitindo que dados sensíveis sejam processados sem controle. O relatório destaca que as ferramentas tradicionais de segurança, como DLP e EDR, não são suficientes para monitorar essas atividades, pois não inspecionam o que acontece dentro das sessões de navegação. Para mitigar esses riscos, é necessário adotar controles nativos de sessão que ofereçam visibilidade e proteção em tempo real, sem comprometer a experiência do usuário.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais complexo, com ataques cibernéticos se tornando mais sofisticados. Um exemplo alarmante é o uso do Hyper-V pela ameaça Curly COMrades, que esconde malware em máquinas virtuais Linux, permitindo que o código malicioso opere fora da visibilidade do sistema operacional host. Essa técnica contorna ferramentas de segurança de endpoint, evidenciando a evolução das táticas de ataque. Além disso, um novo ataque chamado ‘Whisper Leak’ permite que adversários passem a observar tópicos de conversas em modelos de linguagem, mesmo em tráfego criptografado, o que representa um risco significativo para a privacidade. Outro incidente relevante envolve a exploração de uma falha zero-day em dispositivos Samsung Galaxy, que permitiu a instalação de spyware Android em ataques direcionados em países como Iraque e Irã. Por fim, a fusão de grupos criminosos cibernéticos, como Scattered LAPSUS$ Hunters, indica uma coordenação crescente entre ameaças, aumentando a complexidade do combate ao cibercrime. Esses eventos ressaltam a necessidade urgente de que equipes de segurança se mantenham atualizadas e implementem medidas proativas para proteger suas redes.

Três vulnerabilidades críticas no runc, o runtime de contêineres que suporta Docker e Kubernetes, foram divulgadas por um pesquisador da SUSE em 5 de novembro de 2025. As falhas, identificadas como CVE-2025-31133, CVE-2025-52565 e CVE-2025-52881, permitem que atacantes contornem o isolamento de contêineres e obtenham acesso root aos sistemas host. Essas vulnerabilidades afetam versões conhecidas do runc e exploram fraquezas nas operações de montagem e nas proteções de arquivos durante a criação de contêineres. Os atacantes podem usar condições de corrida e manipulação de links simbólicos para contornar restrições de segurança, permitindo a escrita em arquivos críticos do sistema, o que pode levar a uma fuga de contêineres. É crucial que organizações que utilizam Docker, Kubernetes ou serviços que dependem do runc atualizem imediatamente para versões corrigidas (1.2.8, 1.3.3 ou 1.4.0-rc.3 e posteriores) para evitar compromissos de segurança. Além disso, recomenda-se a auditoria de ambientes implantados e a implementação de políticas rigorosas de escaneamento de imagens para detectar Dockerfiles maliciosos.

A Aurologic GmbH, um provedor de hospedagem alemão, foi identificada como um ponto crítico na infraestrutura global que apoia atividades maliciosas, segundo pesquisa do Insikt Group da Recorded Future. A empresa, que opera a partir do Tornado Datacenter em Langen, Alemanha, fornece serviços de trânsito e data center para várias redes de hospedagem de alto risco, incluindo organizações sancionadas como o Aeza Group. Apesar de se apresentar como um provedor legítimo, cerca de 50% dos prefixos IP da Aeza International são roteados exclusivamente através da Aurologic, evidenciando seu papel na manutenção da infraestrutura sancionada. A Aurologic enfrenta críticas por sua abordagem reativa em relação a abusos, afirmando que tomará medidas apenas após contato formal das autoridades. Essa postura tem permitido a continuidade de operações maliciosas, colocando a empresa em uma posição central no cibercrime organizado. O caso da Aurologic destaca a falta de responsabilidade no ecossistema de hospedagem, onde provedores de upstream frequentemente evitam intervenções proativas, o que pode ter implicações significativas para a segurança cibernética global.

A Intel está processando o ex-engenheiro de software Jinfeng Luo, que supostamente baixou cerca de 18.000 arquivos confidenciais da empresa após sua demissão em julho de 2025. O incidente destaca os riscos de segurança de dados durante a saída de funcionários e reestruturações organizacionais. Luo, que trabalhava em Seattle, foi demitido em meio a uma redução de força de trabalho que afetou mais de 15.000 empregados globalmente. Segundo a ação judicial, ele tentou transferir arquivos para um disco rígido externo em 23 de julho, mas foi bloqueado pelos sistemas de segurança da Intel. Em 28 de julho, ele conseguiu conectar um dispositivo diferente e baixar os arquivos sensíveis, que tinham marcações de “Top Secret”, violando regulamentos federais de segurança. A Intel está buscando pelo menos US$ 250.000 em danos e uma liminar para impedir a divulgação das informações roubadas. O caso ressalta a necessidade de protocolos mais rigorosos para gerenciar o acesso a dados durante transições de funcionários, levantando questões sobre controles de acesso e práticas de segurança em reestruturações organizacionais.

Pesquisadores de cibersegurança revelaram um novo conjunto de três extensões associadas à campanha GlassWorm, que continua a visar o ecossistema do Visual Studio Code (VS Code). As extensões, ainda disponíveis para download, incluem ‘ai-driven-dev’, ‘adhamu.history-in-sublime-merge’ e ‘yasuyuky.transient-emacs’. A campanha, documentada pela Koi Security, utiliza extensões do Open VSX Registry e do Microsoft Extension Marketplace para roubar credenciais do GitHub e de carteiras de criptomoedas, além de implantar ferramentas de acesso remoto. O malware se destaca por usar caracteres Unicode invisíveis para ocultar código malicioso, permitindo a replicação e a propagação em um ciclo autônomo. Apesar da remoção das extensões maliciosas pelo Open VSX, a ameaça ressurgiu, utilizando a mesma técnica de ofuscação para evitar detecções. A infraestrutura de comando e controle (C2) baseada em blockchain permite que os atacantes atualizem seus métodos de ataque com facilidade. A análise revelou que o ator de ameaças é de língua russa e utiliza uma estrutura de C2 de código aberto chamada RedExt. A GlassWorm também ampliou seu foco para o GitHub, utilizando credenciais roubadas para inserir commits maliciosos em repositórios.

Pesquisadores em cibersegurança alertaram sobre uma grande campanha de phishing que visa o setor hoteleiro, utilizando e-mails maliciosos que se disfarçam como comunicações do Booking.com. O ataque, que começou em abril de 2025, utiliza a técnica de engenharia social conhecida como ClickFix para redirecionar os gerentes de hotéis a páginas fraudulentas, onde suas credenciais são coletadas. O malware PureRAT é implantado através de comandos PowerShell, permitindo acesso remoto e controle total sobre os sistemas comprometidos. Além disso, os atacantes também se comunicam com clientes de hotéis via WhatsApp ou e-mail, solicitando a confirmação de dados bancários por meio de links falsos. A informação obtida é frequentemente vendida em fóruns de cibercrime, refletindo a profissionalização das operações criminosas. A campanha é considerada ativa e sofisticada, com novas técnicas sendo constantemente desenvolvidas para enganar as vítimas.