Cibersegurança

A cibersegurança enfrenta uma transformação drástica com a evolução da inteligência artificial (IA). Segundo um estudo da ViperX, o tempo necessário para explorar uma vulnerabilidade caiu de dois anos para apenas cinco dias entre 2024 e 2025. Rodolfo Almeida, COO da ViperX, destacou em sua participação na RSA Conference 2025 que a adoção da IA por criminosos digitais resultou em fraudes mais sofisticadas e difíceis de detectar. Um exemplo alarmante foi um caso em que um funcionário transferiu US$ 25 milhões após uma videochamada com um deepfake que se passava pelo CFO da empresa. Essa nova realidade exige que as empresas não apenas adotem tecnologias de segurança, mas que também implementem uma governança eficaz para acompanhar a evolução das ameaças. Almeida enfatizou que a segurança não deve ser vista como uma compra pontual, mas como um processo contínuo que requer monitoramento e adaptação constantes. A pesquisa da Vantico revelou que 87% dos profissionais de segurança notaram um aumento nos riscos associados à IA, e 63% das empresas ainda carecem de políticas de governança adequadas. Portanto, o descompasso entre a rápida adoção da IA e a maturidade das práticas de segurança é um dos maiores desafios atuais.

O conceito de ’ecossistema de espionagem’ refere-se a organizações complexas, geralmente patrocinadas por estados autoritários, que utilizam tecnologias sofisticadas para realizar atividades de espionagem. Essas entidades visam desde a interrupção de cadeias de suprimento até o roubo de informações sensíveis, como planos de produtos e estratégias legais. Ao contrário de ataques rápidos, essas operações buscam acesso profundo e de longo prazo às redes críticas das organizações, muitas vezes infiltrando-se através de funcionários desprevenidos.

Uma grave vulnerabilidade de segurança foi identificada na plataforma de inteligência artificial Flowise, com a classificação CVE-2025-59528, que possui um escore CVSS de 10.0, indicando sua severidade máxima. Essa falha, uma vulnerabilidade de injeção de código, permite a execução remota de código, possibilitando que atacantes executem JavaScript arbitrário no servidor Flowise. O problema reside no nó CustomMCP, que processa configurações de conexão com servidores externos sem validação de segurança adequada, permitindo acesso a módulos perigosos como child_process e fs, que podem comprometer completamente o sistema e permitir a exfiltração de dados sensíveis.

Um grupo de cibercriminosos baseado na China, conhecido como Storm-1175, tem sido associado ao uso de vulnerabilidades zero-day e N-day para realizar ataques rápidos em sistemas expostos à internet. De acordo com a equipe de Inteligência de Ameaças da Microsoft, esses ataques têm impactado severamente organizações de saúde, educação, serviços profissionais e finanças na Austrália, Reino Unido e Estados Unidos. O grupo utiliza uma combinação de exploits, incluindo o OWASSRF, para obter acesso inicial e, após comprometer os sistemas, rapidamente exfiltra dados e implanta o ransomware Medusa. Desde 2023, Storm-1175 explorou mais de 16 vulnerabilidades conhecidas, algumas das quais foram utilizadas como zero-days antes de serem divulgadas publicamente. As táticas observadas incluem o uso de ferramentas legítimas para movimentação lateral e a modificação de políticas do Windows Firewall para facilitar a entrega de cargas maliciosas. A crescente utilização de ferramentas de gerenciamento remoto (RMM) por esses atacantes levanta preocupações sobre a segurança das infraestruturas de TI, pois permite que o tráfego malicioso se misture ao tráfego legítimo, dificultando a detecção.

Pesquisadores da Universidade de Toronto identificaram novas vulnerabilidades em unidades de processamento gráfico (GPUs) que podem ser exploradas para escalar privilégios e, em alguns casos, assumir o controle total de um sistema. Os ataques, denominados GPUBreach, GDDRHammer e GeForge, utilizam a técnica conhecida como RowHammer, que provoca a corrupção de dados na memória. O GPUBreach, em particular, demonstra que a corrupção das tabelas de páginas da GPU pode permitir que processos não privilegiados acessem arbitrariamente a memória da GPU e, subsequentemente, escalem privilégios no CPU, resultando em um shell root. O ataque é notável por não exigir a desativação da Unidade de Gerenciamento de Memória de Entrada/Saída (IOMMU), que normalmente protege contra acessos não autorizados à memória. Embora fabricantes de DRAM tenham implementado mitigação como Código de Correção de Erros (ECC), os pesquisadores alertam que essas medidas podem não ser suficientes, especialmente em sistemas onde múltiplos flips de bits podem ocorrer. As implicações para infraestruturas de IA em nuvem e ambientes de computação de alto desempenho (HPC) são significativas, pois a exploração bem-sucedida pode resultar em degradação da precisão de modelos de aprendizado de máquina em até 80%.

A Polícia Federal da Alemanha (BKA) identificou dois cidadãos russos como líderes das operações de ransomware GandCrab e REvil entre 2019 e 2021. Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, foram apontados como responsáveis por pelo menos 130 casos de extorsão, especificamente direcionados a empresas na Alemanha. Os ataques resultaram em um pagamento total de aproximadamente 2,2 milhões de dólares em resgates, com danos financeiros estimados em mais de 40 milhões de dólares.

Uma nova campanha de malware direcionada a usuários do WhatsApp foi descoberta por pesquisadores do Microsoft Defender. O ataque, que começou em fevereiro de 2026, utiliza arquivos maliciosos no formato Visual Basic Script (VBS) enviados por meio de mensagens no aplicativo. Quando o arquivo é aberto, ele instala um script que cria pastas ocultas no sistema Windows, disfarçando-se como componentes legítimos. Essa técnica de engenharia social permite que o malware se instale sem acionar sistemas de segurança, já que suas atividades se misturam ao tráfego normal do dispositivo.

Hackers estão utilizando notificações falsas do LinkedIn, disfarçadas como alertas de emprego, para enganar usuários e obter informações sensíveis de login. Pesquisas da Cofense revelam que esses ataques se aproveitam da urgência e curiosidade dos destinatários, levando-os a clicar em links maliciosos. Os e-mails fraudulentos frequentemente imitam comunicados de recrutadores de empresas respeitáveis, utilizando logotipos e formatações convincentes. Domínios como ‘inedin[.]digital’ são criados para parecerem legítimos, aumentando a confiança dos usuários. Além disso, os atacantes personalizam as mensagens com dados pessoais disponíveis publicamente, como endereços residenciais, para aumentar a credibilidade. A análise rápida desses ataques é crucial, pois atrasos podem resultar em credenciais comprometidas. Especialistas recomendam que os usuários verifiquem a autenticidade das notificações do LinkedIn e evitem clicar em links suspeitos. A implementação de softwares antivírus atualizados e a verificação cuidadosa de URLs são medidas essenciais para proteger contra esses ataques.

A Microsoft alertou sobre o grupo cibercriminoso Storm-1175, baseado na China, que tem se destacado por ataques rápidos e eficazes utilizando ransomware Medusa. Este grupo é conhecido por explorar vulnerabilidades de dia zero e dia n, conseguindo acesso às redes de suas vítimas em um curto espaço de tempo, frequentemente em menos de 24 horas após a descoberta das falhas. Recentemente, suas ações impactaram severamente setores críticos, como saúde, educação e finanças, em países como Austrália, Reino Unido e Estados Unidos.

A Microsoft anunciou a descontinuação da ferramenta Support and Recovery Assistant (SaRA) a partir de 10 de março, afetando todas as versões do Windows que ainda recebem suporte. O SaRA, uma ferramenta gratuita que auxiliava na resolução de problemas comuns em Office, Microsoft 365, Outlook e Windows, será substituído pelo comando Get Help. Esta nova ferramenta, que pode ser utilizada via linha de comando ou scripts como PowerShell, oferece capacidades semelhantes, mas com uma infraestrutura de segurança aprimorada. A Microsoft orienta os administradores de TI a migrar para o Get Help, que promete identificar e corrigir problemas de forma automatizada ou fornecer instruções para soluções manuais. A mudança faz parte de uma série de desativações de serviços e aplicativos pela Microsoft, visando fortalecer a segurança de seus produtos. Além disso, a empresa já havia anunciado a descontinuação de outras funcionalidades e aplicativos, como o recurso de preenchimento automático de senhas do Microsoft Authenticator e o Microsoft Publisher, que será removido do Microsoft 365 em 2026.

A Microsoft anunciou a resolução de um problema que impedia alguns usuários do Outlook Clássico de enviar e-mails através do Outlook.com. O erro, que gerava relatórios de não entrega (NDRs) com códigos 0x80070005-0x0004dc-0x000524, alertava os usuários de que suas mensagens não haviam chegado aos destinatários. O problema era mais frequente quando o perfil do Outlook estava vinculado a outra conta do Exchange. A empresa informou que a solução foi implementada em 3 de abril de 2026, através de uma correção do lado do servidor. Para aqueles que ainda enfrentam dificuldades, a Microsoft recomenda o uso do novo cliente do Outlook ou do Outlook.com na web. Além disso, uma solução temporária é baixar o Catálogo de Endereços do Outlook para as contas afetadas. Este incidente segue uma série de problemas que a Microsoft tem enfrentado com o Outlook Clássico, incluindo bugs relacionados ao complemento de reuniões do Microsoft Teams e dificuldades de sincronização com o Gmail. A empresa também está investigando outros erros que afetam a conectividade e a interface do usuário em várias aplicações do Microsoft 365.

Uma nova vulnerabilidade, chamada BlueHammer, foi divulgada por um pesquisador de segurança insatisfeito com a forma como a Microsoft lidou com o processo de divulgação. Essa falha de escalonamento de privilégios no Windows permite que atacantes obtenham permissões de SYSTEM ou administrador elevado. Sem um patch oficial disponível, a vulnerabilidade é considerada um zero-day. O pesquisador, que se identifica como Chaotic Eclipse, expressou frustração com a Microsoft e publicou um repositório no GitHub contendo o código de exploração. Embora a exploração exija acesso local, o risco é significativo, pois atacantes podem obter acesso local por meio de engenharia social ou outras vulnerabilidades. A falha combina um problema de TOCTOU (time-of-check to time-of-use) e confusão de caminho, permitindo acesso ao banco de dados Security Account Manager (SAM), que contém hashes de senhas. Especialistas confirmaram que, embora o exploit funcione, ele pode apresentar bugs que dificultam sua eficácia em algumas versões do Windows, como o Windows Server. A Microsoft ainda não se pronunciou sobre a questão.

Um novo ataque, denominado GPUBreach, foi desenvolvido por pesquisadores da Universidade de Toronto e pode induzir falhas de bit Rowhammer em memórias GDDR6 de GPUs, resultando em escalonamento de privilégios e comprometimento total do sistema. O ataque explora a corrupção de tabelas de páginas da GPU (PTEs), permitindo que um kernel CUDA não privilegiado obtenha acesso de leitura/escrita arbitrário à memória da GPU. Isso pode ser encadeado para uma escalada de privilégios no lado da CPU, aproveitando falhas de segurança na driver da NVIDIA, sem a necessidade de desativar a proteção do Unidade de Gerenciamento de Memória de Entrada e Saída (IOMMU). Embora o IOMMU seja uma medida eficaz contra muitos ataques de acesso direto à memória, ele não impede o GPUBreach. Os pesquisadores destacam que, ao corromper as tabelas de páginas da GPU, é possível obter privilégios de root, mesmo com o IOMMU ativado, tornando o GPUBreach uma ameaça mais significativa do que ataques anteriores. O ataque foi demonstrado em uma GPU NVIDIA RTX A6000, amplamente utilizada em desenvolvimento e treinamento de IA. Os detalhes completos do estudo serão apresentados no IEEE Symposium on Security & Privacy em 13 de abril de 2025.

Em março de 2026, um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP comprometeu pacotes da biblioteca de desenvolvimento de IA LiteLLM, resultando em uma operação sistemática de coleta de credenciais a partir de estações de trabalho de desenvolvedores. O malware, que foi injetado nas versões 1.82.7 e 1.82.8 do LiteLLM disponíveis no PyPI, ativou-se quando os desenvolvedores instalavam ou atualizavam o pacote, coletando chaves SSH, credenciais de nuvem e outras informações sensíveis. Apesar da remoção rápida dos pacotes maliciosos, a análise da GitGuardian revelou que 1.705 pacotes do PyPI estavam configurados para puxar as versões comprometidas como dependências, expondo ainda mais sistemas a riscos.

Recentemente, grupos de ameaças associados à Coreia do Norte têm utilizado o GitHub como infraestrutura de comando e controle (C2) em ataques direcionados a organizações na Coreia do Sul. Segundo a Fortinet, a cadeia de ataque começa com arquivos de atalho do Windows (LNK) ofuscados, que são distribuídos por meio de e-mails de phishing. Esses arquivos iniciam o download de um documento PDF falso e um script PowerShell que opera em segundo plano. O script realiza verificações para evitar a análise, terminando sua execução se detectar processos relacionados a máquinas virtuais ou ferramentas forenses. Caso contrário, ele extrai um script Visual Basic e estabelece persistência, garantindo que o payload do PowerShell seja executado automaticamente a cada 30 minutos. Além disso, o script coleta informações do sistema comprometido e as exfiltra para um repositório do GitHub, utilizando um token de acesso codificado. Essa técnica de usar plataformas confiáveis como o GitHub para controle de malware é uma estratégia que permite aos atacantes se camuflar e manter controle sobre os sistemas infectados. O uso de ferramentas nativas do Windows, em vez de malware personalizado, aumenta a eficácia dos ataques, reduzindo a taxa de detecção. A situação é preocupante, pois demonstra a evolução das táticas de grupos patrocinados pelo estado, como o Kimsuky, que também têm explorado outras técnicas de infecção baseadas em LNK.

Um ator de ameaça vinculado ao Irã está por trás de uma campanha de password spraying direcionada a ambientes Microsoft 365 em Israel e nos Emirados Árabes Unidos (EAU), conforme relatado pela empresa de cibersegurança Check Point. A atividade, que ocorre em três ondas distintas, afetou mais de 300 organizações em Israel e mais de 25 nos EAU, com alvos que incluem entidades governamentais, empresas de tecnologia, transporte e energia. O password spraying é uma técnica de ataque que tenta usar uma única senha comum em múltiplos nomes de usuário, sendo uma abordagem mais eficaz para descobrir credenciais fracas sem acionar defesas de limitação de taxa. Além disso, o grupo de ransomware iraniano Pay2Key também voltou a atacar, visando uma organização de saúde nos EUA, utilizando técnicas avançadas de evasão e execução. A campanha de ransomware, que não resultou em exfiltração de dados, destaca a crescente integração de operações cibernéticas com objetivos políticos por parte do Irã. As organizações são aconselhadas a monitorar logs de acesso, aplicar controles de acesso condicionais e implementar autenticação multifator (MFA) para mitigar esses riscos.

O malware SparkCat, um infostealer focado em criptomoedas, está de volta com novas atualizações que dificultam sua detecção. Pesquisadores da Kaspersky identificaram aplicativos maliciosos disfarçados em plataformas populares como a Apple App Store e o Google Play Store. O SparkCat, que foi detectado pela primeira vez em 2025, tem como alvo as frases mnemônicas usadas para acessar carteiras de criptomoedas. Recentemente, o malware aprimorou suas técnicas, utilizando reconhecimento óptico de caracteres (OCR) para extrair essas informações de fotos e capturas de tela. Embora inicialmente focado em usuários asiáticos, a nova versão também busca alvos ocidentais, incluindo palavras-chave em inglês. As técnicas de ofuscação foram aprimoradas, tornando a detecção ainda mais desafiadora. A Kaspersky informou que algumas das aplicações maliciosas já foram removidas das lojas, mas o risco persiste, especialmente para usuários que não mantêm vigilância sobre os aplicativos que instalam.

No último fim de semana, o grupo cibercriminoso Interlock reivindicou um ataque de ransomware ocorrido em março de 2026 contra o Community College of Beaver County (CCBC), na Pensilvânia. Em 9 de março, a instituição anunciou que hackers criptografaram dados e exigiram pagamento de resgate para a recuperação. O ataque afetou o acesso a notas, históricos e informações financeiras, levando ao fechamento do campus até a segunda-feira seguinte e à suspensão das aulas presenciais até 30 de março. O Interlock afirmou ter roubado 780 GB de dados, incluindo informações pessoais e documentos financeiros, que foram posteriormente vazados. Embora a CCBC tenha reconhecido o incidente, não confirmou a reivindicação do grupo nem se pagou o resgate. O ataque é parte de uma tendência crescente de ataques de ransomware em instituições educacionais nos EUA, com sete incidentes confirmados em 2026 até o momento, afetando operações diárias e expondo dados sensíveis. A situação destaca a vulnerabilidade das instituições educacionais a ataques cibernéticos e a necessidade de medidas de segurança robustas.

Em 2026, o roubo de credenciais se destaca como uma das principais preocupações em cibersegurança. Um estudo recente revelou que 85% das organizações consideram esse risco elevado, com 62% o colocando entre suas três principais prioridades de segurança. No entanto, muitas empresas ainda adotam soluções superficiais, como a autenticação multifator (MFA) e ferramentas genéricas, sem perceber que essas medidas não protegem adequadamente contra acessos não autorizados, especialmente quando os funcionários utilizam dispositivos não gerenciados para acessar serviços críticos. O custo médio de uma violação de dados envolvendo credenciais comprometidas pode variar entre 4,81 e 4,88 milhões de dólares, evidenciando a gravidade da situação. Além disso, em 2025, foram identificadas 4,17 bilhões de credenciais comprometidas, o que torna a simples monitoração de violações insuficiente. A pesquisa aponta que apenas 32% das empresas utilizam soluções dedicadas para monitoramento de credenciais, enquanto 60% realizam verificações de credenciais expostas raramente ou nunca. Para enfrentar essa ameaça, é necessário um programa de monitoramento de violações mais robusto, que inclua automação e integração com ferramentas de segurança existentes, permitindo uma resposta mais eficaz a incidentes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do FortiClient Enterprise Management Server (EMS) contra uma vulnerabilidade criticamente explorada, identificada como CVE-2026-35616. Esta falha, descoberta pela empresa de cibersegurança Defused, permite que atacantes contornem controles de autenticação e autorização, possibilitando a execução de comandos maliciosos. A Fortinet, fabricante do FortiClient, lançou correções de emergência e alertou que a vulnerabilidade está sendo ativamente explorada em ataques zero-day. A CISA incluiu a CVE-2026-35616 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e exigiu que as agências federais aplicassem patches até a meia-noite de 9 de abril. Apesar de a ordem se aplicar apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizassem a correção dessa vulnerabilidade. Atualmente, cerca de 2.000 instâncias do FortiClient EMS estão expostas na internet, com mais de 1.400 IPs localizados nos EUA e na Europa, aumentando a urgência para a aplicação das correções.

Nesta semana, o cenário de cibersegurança foi marcado por incidentes significativos, incluindo o comprometimento do pacote npm Axios por hackers norte-coreanos, que introduziram uma versão maliciosa contendo o malware WAVESHAPER.V2. Este ataque destaca a vulnerabilidade de pacotes amplamente utilizados, que podem afetar rapidamente uma vasta gama de sistemas. Além disso, o Google lançou atualizações de segurança para o Chrome, corrigindo 21 vulnerabilidades, incluindo uma falha zero-day que já estava sendo explorada. Outro incidente relevante foi a exploração de uma vulnerabilidade zero-day no software de videoconferência TrueConf, que afetou entidades governamentais no Sudeste Asiático. A Fortinet também emitiu patches para uma falha crítica em seu FortiClient EMS, que estava sendo ativamente explorada. Por fim, a Apple expandiu a disponibilidade de correções para dispositivos mais antigos, visando proteger usuários contra o kit de exploração DarkSword. Esses eventos ressaltam a importância de monitorar e proteger ferramentas de desenvolvimento e dependências de software, uma vez que os atacantes estão cada vez mais focados em comprometer os processos de construção e distribuição de software.

As Galerias Uffizi, um dos museus mais renomados da Itália, localizado em Florença, confirmou ter sido alvo de um ataque cibernético em fevereiro de 2026. Durante o incidente, hackers acessaram os servidores do museu e supostamente roubaram um arquivo fotográfico completo. No entanto, a instituição afirmou que possuía backups adequados, permitindo a restauração rápida dos dados perdidos. Relatos indicam que os atacantes também teriam acessado informações sensíveis, como códigos, senhas e mapas internos, mas o museu negou essas alegações, afirmando que não há evidências de que esses dados tenham sido comprometidos. A Uffizi está atualmente substituindo seu hardware, uma atualização que já estava planejada antes do ataque, e tomou medidas adicionais para proteger suas coleções, incluindo o armazenamento de itens valiosos em um cofre no Banco da Itália. Os hackers tentaram extorquir o museu, ameaçando divulgar os arquivos roubados na dark web, mas até o momento, nada foi vazado. Este incidente destaca a crescente vulnerabilidade de instituições culturais a ataques cibernéticos e a importância de manter sistemas de segurança atualizados.

O Escritório Federal de Polícia Criminal da Alemanha (BKA) revelou as identidades de dois indivíduos-chave associados ao extinto grupo de ransomware REvil, também conhecido como Sodinokibi. Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, ambos russos, são acusados de liderar uma das maiores operações de ransomware global, que resultou em 130 ataques na Alemanha, com pagamentos de resgate totalizando €1,9 milhão. O grupo, que atacou empresas de renome como JBS e Kaseya, exigia grandes quantias em troca da descriptografia e não divulgação de dados. O BKA destacou que os danos financeiros totais ultrapassaram €35,4 milhões. O REvil, que evoluiu do GandCrab, ficou offline em julho de 2021, mas ressurgiu brevemente antes de encerrar suas operações definitivamente. A Rússia também anunciou a prisão de membros do grupo, indicando um esforço global para combater o cibercrime. Shchukin, que se autodenominava UNKN, afirmou ter estado no negócio de ransomware desde 2007, revelando um passado difícil que contrasta com sua atual riqueza.

Recentemente, os grupos de ransomware Qilin e Warlock têm utilizado a técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD) para desativar ferramentas de segurança em sistemas comprometidos. A análise realizada pela Cisco Talos revelou que o Qilin emprega um DLL malicioso chamado ‘msimg32.dll’, que inicia uma cadeia de infecção em múltiplas etapas, visando desativar soluções de detecção e resposta em endpoints (EDR). Este DLL é capaz de encerrar mais de 300 drivers de EDR de diversos fornecedores.

Um grupo de hackers associado ao Irã, conhecido como Charming Kitten, tem utilizado táticas de engenharia social para comprometer usuários de plataformas da Apple e Microsoft. Em vez de explorar vulnerabilidades técnicas, os atacantes criam identidades falsas e estabelecem relações de confiança com as vítimas, levando-as a revelar credenciais ou instalar softwares maliciosos. Essa abordagem, reminiscentes das estratégias de espionagem da Guerra Fria, permite que os hackers operem de forma eficaz em um ambiente digital, afetando usuários em todo o mundo.

A Fortinet divulgou um alerta sobre uma vulnerabilidade crítica no FortiClient Enterprise Management Server (EMS), identificada como CVE-2026-35616, que está sendo ativamente explorada em ataques. Esta falha de controle de acesso inadequado permite que atacantes não autenticados executem comandos ou códigos maliciosos por meio de requisições especialmente elaboradas. A vulnerabilidade afeta as versões 7.4.5 e 7.4.6 do FortiClient EMS, e a empresa recomenda que os clientes vulneráveis instalem imediatamente os hotfixes disponíveis. A falha foi descoberta pela empresa de cibersegurança Defused, que observou sua exploração como um zero-day antes de reportá-la à Fortinet. Além disso, a Shadowserver identificou mais de 2.000 instâncias expostas do FortiClient EMS, principalmente nos EUA e na Alemanha. A Fortinet também está trabalhando em uma correção para a versão 7.4.7 do software. A empresa enfatiza a urgência da atualização, especialmente após a identificação de outra vulnerabilidade crítica no mesmo sistema, o CVE-2026-21643, que foi reportada na semana anterior e também está sendo explorada em ataques.

Recentemente, golpistas têm enviado mensagens de texto falsas, se passando por tribunais estaduais dos EUA, alertando sobre supostas infrações de trânsito. Essas mensagens, que incluem um QR code, pressionam os destinatários a realizar um pagamento de $6,99 em um site de phishing, onde informações pessoais e financeiras são coletadas. A nova campanha, que começou há algumas semanas, já afetou residentes de vários estados, incluindo Nova York, Califórnia e Texas. Ao contrário de campanhas anteriores, que apenas incluíam links, esta nova abordagem utiliza uma imagem de um aviso judicial falso com um QR code embutido. Após escanear o código, a vítima é direcionada a um site que imita agências governamentais, onde é solicitado que forneça dados pessoais e informações de cartão de crédito. Especialistas alertam que, ao receber mensagens de números desconhecidos solicitando pagamentos, é fundamental ignorá-las, já que agências estatais não utilizam esse método para solicitar informações pessoais. Essa prática representa um risco significativo de roubo de identidade e fraudes financeiras.

Um ataque cibernético ocorrido em 1º de abril de 2026 resultou no roubo de US$ 285 milhões de uma exchange descentralizada baseada em Solana, revelando uma operação de engenharia social meticulosamente planejada pela Coreia do Norte. O grupo de hackers, conhecido como UNC4736, é associado a diversas campanhas de roubo no setor de criptomoedas desde 2018. A análise da Drift, a exchange atacada, indica que o ataque foi o resultado de meses de interação com colaboradores da empresa, onde os atacantes, disfarçados como uma empresa de trading, estabeleceram relações de confiança. Durante esse período, eles conseguiram integrar um Ecosystem Vault na plataforma, o que facilitou o acesso a ativos criptográficos. O ataque pode ter sido realizado através de dois vetores principais: a clonagem de um repositório de código malicioso e o download de um aplicativo de carteira comprometido. A investigação também destaca a evolução do ecossistema de malware da Coreia do Norte, que se tornou mais fragmentado e resistente a atribuições, dificultando a identificação de suas operações. Este incidente ressalta a necessidade de vigilância constante e medidas de segurança robustas no setor de fintech e criptomoedas.

Uma nova campanha de hackers está em andamento, visando roubar credenciais de forma automatizada ao explorar a vulnerabilidade React2Shell (CVE-2025-55182) em aplicativos Next.js. Até o momento, 766 hosts em diferentes provedores de nuvem e regiões foram comprometidos, resultando na coleta de dados sensíveis, como credenciais de banco de dados, chaves privadas SSH, chaves de API e segredos de ambiente. A operação utiliza um framework chamado NEXUS Listener e scripts automatizados para extrair e exfiltrar dados de diversas aplicações. Os pesquisadores da Cisco Talos conseguiram acessar uma instância exposta do NEXUS Listener, permitindo a análise dos dados coletados e do funcionamento da aplicação. A coleta de dados ocorre em pacotes, enviados via requisições HTTP para um servidor de comando e controle. As recomendações de defesa incluem a aplicação de atualizações de segurança, auditoria da exposição de dados e rotação imediata de credenciais suspeitas. A situação é crítica, pois os dados roubados podem levar a invasões de contas em nuvem e ataques à cadeia de suprimentos.

Pesquisadores de cibersegurança identificaram 36 pacotes maliciosos na registry npm, disfarçados como plugins do Strapi CMS. Esses pacotes, que não possuem descrição ou repositório, foram projetados para facilitar a exploração de Redis e PostgreSQL, implantar shells reversos, coletar credenciais e instalar um implante persistente. Todos os pacotes seguem a convenção de nomenclatura ‘strapi-plugin-’ e foram enviados por contas falsas em um curto período de tempo. A análise revelou que o código malicioso está embutido no script postinstall, que é executado automaticamente durante a instalação, permitindo que o código seja executado com os mesmos privilégios do usuário. Os ataques incluem a injeção de comandos para execução remota de código, coleta de informações sensíveis e exploração de bancos de dados. A descoberta coincide com uma série de ataques à cadeia de suprimentos no ecossistema de código aberto, levantando preocupações sobre a segurança de desenvolvedores e empresas que utilizam essas tecnologias. Os usuários que instalaram os pacotes devem considerar suas contas comprometidas e trocar todas as credenciais.

Os mantenedores do popular cliente HTTP Axios relataram um ataque de engenharia social que comprometeu a conta de um desenvolvedor, resultando na publicação de versões maliciosas do Axios no registro de pacotes npm. Durante um período de aproximadamente três horas, duas versões (1.14.1 e 0.30.4) injetaram uma dependência chamada plain-crypto-js, que instalou um trojan de acesso remoto (RAT) em sistemas macOS, Windows e Linux. O ataque foi atribuído ao grupo de hackers norte-coreano UNC1069, que utiliza táticas de engenharia social para enganar desenvolvedores. O principal alvo, Jason Saayman, foi induzido a instalar um malware disfarçado de atualização do Microsoft Teams após ser convidado para um espaço de trabalho Slack falso. Os mantenedores do Axios já tomaram medidas para mitigar o incidente, incluindo a redefinição de credenciais e a limpeza de sistemas afetados. Este ataque destaca a crescente preocupação com a segurança da cadeia de suprimentos, especialmente em projetos de código aberto amplamente utilizados.

O artigo aborda a crescente preocupação com chats falsos de suporte que visam roubar dados pessoais dos usuários. Muitas vezes, esses chats se disfarçam como atendimentos legítimos, levando os usuários a baixar a guarda. O texto destaca a importância de verificar como o usuário chegou até o chat, enfatizando que links recebidos por e-mail, SMS ou redes sociais são frequentemente armadilhas. Além disso, é ressaltado que atendimentos verdadeiros nunca pedem informações sensíveis, como senhas ou dados de cartão, e que sinais de alerta incluem urgência excessiva, erros de digitação e insistência em canais de comunicação alternativos. Para garantir a segurança, recomenda-se acessar o suporte diretamente pelo site oficial do serviço. Caso o usuário já tenha compartilhado informações, o artigo orienta a interromper a conversa, alterar senhas e notificar instituições financeiras. A mensagem central é que a confiança digital deve ser construída com verificação rigorosa, não apenas com base na aparência.

Um novo relatório chamado ‘BrowserGate’ revela que o LinkedIn, da Microsoft, utiliza scripts JavaScript ocultos em seu site para escanear os navegadores dos visitantes em busca de extensões instaladas e coletar dados dos dispositivos. Segundo a Fairlinked e.V., uma associação de usuários comerciais do LinkedIn, esses scripts verificam mais de 6.000 extensões, ligando os resultados a perfis de usuários identificáveis. O relatório afirma que essa prática permite à plataforma coletar informações sensíveis, como listas de clientes de empresas que utilizam ferramentas concorrentes, como Apollo e Lusha. O LinkedIn, por sua vez, defende que a detecção de extensões é uma medida de segurança para proteger seus usuários e a integridade da plataforma, alegando que as informações coletadas são usadas para identificar extensões que violam seus termos de serviço. Apesar das negações do LinkedIn, a prática de ‘fingerprinting’ é uma preocupação crescente, pois pode permitir o rastreamento de usuários em diferentes sites. O artigo destaca que essa situação não é única do LinkedIn, citando casos anteriores de empresas que também utilizaram técnicas semelhantes para proteger suas plataformas.

Com o aumento das ameaças digitais, usuários de iPhones antigos precisam estar atentos à segurança de seus dispositivos. À medida que as versões do iOS se tornam obsoletas, os aparelhos mais antigos se tornam alvos preferenciais para ataques, como o recente malware DarkSword, que compromete informações sensíveis através de links maliciosos. Para mitigar esses riscos, o artigo apresenta cinco passos essenciais: 1) Atualizar o iPhone para a versão mais recente disponível; 2) Verificar se o dispositivo ainda recebe atualizações de segurança; 3) Evitar clicar em links suspeitos e instalar aplicativos fora da App Store; 4) Reforçar as proteções do aparelho, como ativar a autenticação de dois fatores e o Face ID ou Touch ID; e 5) Revisar permissões de aplicativos e monitorar comportamentos estranhos. Essas medidas são cruciais para garantir a segurança dos dados e a integridade do dispositivo, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

O grupo de ransomware Qilin comprometeu a rede do partido político alemão Die Linke, que é uma organização socialista democrática, e está ameaçando vazar dados sensíveis. Em 27 de março, um dia após a invasão, o partido revelou um incidente cibernético, mas não confirmou um vazamento de dados. A organização, que possui 123 mil membros e 64 representantes no Bundestag, afirmou que os atacantes visam publicar informações internas e dados pessoais de funcionários, embora a base de dados de membros não tenha sido afetada. O Die Linke identificou os atacantes como criminosos cibernéticos de língua russa, motivados tanto financeiramente quanto politicamente, e destacou que o ataque não parece ser acidental. Em 1º de abril, o Qilin reivindicou publicamente a responsabilidade pelo ataque, adicionando o partido à sua lista de vítimas sem divulgar amostras de dados. O partido notificou as autoridades alemãs e está colaborando com especialistas em TI para restaurar seus sistemas. O uso de ransomware é frequentemente associado a guerras híbridas e ataques a infraestruturas críticas, o que levanta preocupações sobre a segurança cibernética em contextos políticos.

A empresa americana Hims & Hers Health, especializada em telemedicina, alertou sobre uma violação de dados após o roubo de tickets de suporte de uma plataforma de atendimento ao cliente de terceiros. O incidente ocorreu entre 4 e 7 de fevereiro de 2026, quando hackers acessaram tickets que, em alguns casos, continham informações pessoais dos usuários, como nomes e contatos. A empresa garantiu que registros médicos e comunicações com médicos não foram comprometidos. A investigação revelou que o grupo de extorsão ShinyHunters foi responsável pelo ataque, que envolveu a exploração de contas do Okta SSO para acessar serviços de armazenamento em nuvem e plataformas SaaS. Em resposta, a Hims & Hers está oferecendo 12 meses de monitoramento de crédito gratuito aos indivíduos afetados e recomenda que os clientes permaneçam vigilantes contra comunicações não solicitadas que possam conter tentativas de phishing. Este incidente se junta a outros casos recentes de violação de dados que afetaram plataformas como Zendesk, destacando a vulnerabilidade de sistemas de suporte ao cliente.

Um novo relatório intitulado ‘BrowserGate’ revela que o LinkedIn, plataforma da Microsoft, utiliza scripts JavaScript ocultos para escanear os navegadores dos visitantes em busca de extensões instaladas e coletar dados dos dispositivos. Segundo a Fairlinked e.V., uma associação de usuários comerciais do LinkedIn, a plataforma injeta JavaScript nas sessões dos usuários para verificar mais de 6.000 extensões, ligando os resultados a perfis identificáveis. O relatório afirma que essa prática permite a coleta de informações pessoais e corporativas sensíveis, uma vez que as contas do LinkedIn estão atreladas a identidades reais e funções profissionais. O LinkedIn, por sua vez, nega as alegações, afirmando que a detecção de extensões é uma medida de proteção contra práticas que violam seus termos de serviço. A empresa argumenta que a coleta de dados é utilizada para manter a integridade da plataforma, e não para inferir informações sensíveis sobre os usuários. Apesar disso, a prática de ‘fingerprinting’ levanta preocupações sobre a privacidade e o uso indevido de dados, especialmente em um contexto onde a conformidade com a LGPD é crucial.

Pesquisadores da Microsoft Defender alertam que atores de ameaças estão utilizando cookies HTTP como um canal de controle para shells web baseados em PHP em servidores Linux, visando a execução remota de código. Essa técnica permite que o código malicioso permaneça inativo durante a execução normal da aplicação, ativando-se apenas quando valores específicos de cookies estão presentes. O uso de cookies para controle de execução oferece uma camada adicional de furtividade, já que esses dados se misturam ao tráfego web normal, dificultando a detecção. As implementações incluem loaders PHP que utilizam ofuscação e verificações em tempo de execução, além de scripts que segmentam dados de cookies para executar cargas úteis secundárias. A pesquisa também revela que os atacantes podem obter acesso inicial ao ambiente Linux da vítima através de credenciais válidas ou exploração de vulnerabilidades conhecidas, configurando tarefas cron para invocar rotinas de shell periodicamente. Para mitigar essa ameaça, a Microsoft recomenda a implementação de autenticação multifator, monitoramento de atividades de login incomuns e auditoria de tarefas cron. Essa abordagem de controle por cookies sugere uma reutilização de técnicas de shell web estabelecidas, permitindo acesso persistente pós-compromisso que pode evadir controles tradicionais de inspeção e registro.

Desde meados de 2025, um ator de ameaças alinhado à China, identificado como TA416, intensificou suas atividades contra organizações governamentais e diplomáticas na Europa, após um período de dois anos com pouca atividade na região. Pesquisadores da Proofpoint relataram que as campanhas de TA416 incluem múltiplas ondas de entrega de malware e web bugs direcionadas a missões diplomáticas da União Europeia e da OTAN. O grupo tem utilizado técnicas sofisticadas, como o abuso de páginas de desafio do Cloudflare e redirecionamentos OAuth, além de atualizar frequentemente seu payload PlugX. Além disso, TA416 também tem realizado campanhas no Oriente Médio, possivelmente para coletar informações sobre o conflito entre EUA, Israel e Irã. As táticas observadas incluem o uso de arquivos de projeto C# para facilitar a entrega do malware, que é conhecido por estabelecer canais de comunicação criptografados com servidores de comando e controle. A evolução das operações cibernéticas chinesas, que se tornaram mais adaptativas e centradas na identidade, destaca a necessidade de vigilância constante por parte das organizações, especialmente aquelas que operam em setores críticos.

A empresa de telemedicina Hims & Hers confirmou um ataque cibernético que resultou no acesso não autorizado a informações pessoais de clientes. O incidente foi detectado em 5 de fevereiro de 2026, após uma intrusão que ocorreu entre 4 e 7 de fevereiro. Durante a investigação, a empresa identificou que um número limitado de tickets de atendimento ao cliente foi acessado, contendo dados pessoais como nomes e informações de contato. Importante ressaltar que os registros médicos dos clientes e as comunicações com prestadores de saúde não foram afetados. A Hims & Hers está revisando suas políticas de segurança e notificou as autoridades competentes. Embora o número exato de indivíduos afetados não tenha sido divulgado, a empresa se comprometeu a oferecer monitoramento de crédito e serviços de restauração de identidade por um ano. Até o momento, não há informações sobre os responsáveis pelo ataque, e os dados não foram encontrados em circulação na internet. A empresa também não revelou como a violação ocorreu, mas a natureza dos dados comprometidos pode ser atrativa para criminosos, especialmente em casos de phishing e roubo de identidade.

A Microsoft está investigando problemas de acesso a caixas de correio do Exchange Online que têm afetado usuários do Outlook em dispositivos móveis e macOS. O problema, que começou em 11 de março, foi inicialmente atribuído a uma nova conta virtual. Embora a empresa tenha sinalizado a resolução em 1º de abril, o incidente foi reclassificado sob um novo código (EX1268771) devido a relatos de que os problemas persistem. A Microsoft está trabalhando para reiniciar o serviço de Notification Broker em partes afetadas da infraestrutura do Exchange Online, enquanto continua a análise da causa raiz. Os usuários podem enfrentar acessos intermitentes às suas caixas de correio, especialmente em aplicativos móveis e no novo cliente de desktop do Outlook para Mac. A empresa ainda não divulgou informações sobre as regiões ou o número de usuários afetados. Este incidente é considerado crítico, pois impacta diretamente a capacidade de acesso a e-mails e calendários, com implicações potenciais para a conformidade com a LGPD.

Em fevereiro de 2026, o Centro Médico da Universidade do Mississippi (UMMC) sofreu um ataque de ransomware que desativou seu sistema de registro eletrônico de saúde, afetando 35 clínicas e mais de 200 locais de telemedicina. O ataque resultou no cancelamento de tratamentos de quimioterapia e adiamentos de cirurgias não emergenciais, forçando a equipe médica a retornar a processos em papel. Este incidente é parte de uma tendência alarmante, com 93% das organizações de saúde nos EUA relatando pelo menos um ataque cibernético em 2025, e 72% afirmando que esses incidentes impactaram diretamente o atendimento ao paciente. Outros setores, como manufatura e finanças, também estão em risco, como evidenciado pelo ataque à BridgePay, que paralisou suas operações de processamento de pagamentos. A evolução do ransomware para táticas de dupla e tripla extorsão, onde dados sensíveis são exfiltrados antes da criptografia, torna as defesas tradicionais insuficientes. A plataforma D.AMO, desenvolvida pela Penta Security, oferece uma solução abrangente que combina criptografia, controle de acesso e recuperação de backup, visando neutralizar as ameaças de ransomware em todas as suas fases.

O artigo da Cynomi destaca a crescente importância da gestão de riscos de terceiros (TPRM) na cibersegurança moderna. Com a evolução das operações empresariais, a segurança não se limita mais a um perímetro definido, mas se estende a um ecossistema interconectado que inclui fornecedores e ferramentas SaaS. Dados da Verizon indicam que 30% das violações de dados envolvem terceiros, com um custo médio de remediação de US$ 4,91 milhões por incidente. A abordagem tradicional de avaliação de riscos, que se baseava em questionários anuais e análises manuais, já não é suficiente, especialmente com o aumento das exigências regulatórias. A TPRM deve ser vista como uma função central de governança, e não apenas como uma formalidade de conformidade. Para provedores de serviços gerenciados (MSPs) e provedores de serviços de segurança gerenciados (MSSPs), isso representa uma oportunidade significativa para oferecer serviços contínuos e de alto valor, ao invés de projetos pontuais. A construção de uma prática TPRM estruturada e escalável pode não apenas melhorar a retenção de clientes, mas também posicionar esses provedores como parceiros essenciais na segurança e conformidade de seus clientes.

O mantenedor do pacote Axios, Jason Saayman, confirmou que o comprometimento da cadeia de suprimentos foi resultado de uma campanha de engenharia social altamente direcionada, orquestrada por atores de ameaças da Coreia do Norte, identificados como UNC1069. Os atacantes se apresentaram como o fundador de uma empresa legítima, criando um espaço no Slack que parecia autêntico, onde interagiram com Saayman. Durante uma reunião falsa no Microsoft Teams, ele recebeu uma mensagem de erro que o levou a baixar um trojan de acesso remoto. Com isso, os atacantes conseguiram roubar as credenciais da conta npm de Saayman e publicaram versões comprometidas do pacote Axios, que é amplamente utilizado na comunidade JavaScript, com quase 100 milhões de downloads semanais. O ataque destaca a vulnerabilidade dos mantenedores de projetos de código aberto e o potencial de impacto em larga escala, afetando usuários downstream. Saayman implementou medidas preventivas, como redefinir dispositivos e credenciais e adotar práticas recomendadas para publicações. O incidente ressalta a necessidade de vigilância constante em um ambiente de desenvolvimento cada vez mais complexo.

O Drift Protocol, uma plataforma de negociação DeFi baseada na blockchain Solana, sofreu um ataque sofisticado que resultou na perda de pelo menos $280 milhões. O ataque foi atribuído a hackers norte-coreanos, conforme indicado por empresas de inteligência em blockchain, como Elliptic e TRM Labs. Os atacantes utilizaram contas de nonce duráveis e transações pré-assinadas para atrasar a execução de suas ações até um momento escolhido, permitindo que tomassem o controle administrativo da plataforma rapidamente. O ataque ocorreu entre 23 e 30 de março, culminando em uma transação legítima seguida pela execução de transações maliciosas em 1º de abril, o que resultou na transferência de controle administrativo para o hacker. Após a detecção de atividades incomuns, o Drift Protocol emitiu um alerta público e congelou suas operações. A plataforma está colaborando com firmas de segurança e autoridades para rastrear e congelar os fundos roubados, prometendo um relatório detalhado sobre o incidente em breve.

O CERT-EU, serviço de cibersegurança da União Europeia, atribuiu o recente ataque à nuvem da Comissão Europeia ao grupo de ameaças TeamPCP. O incidente, que foi revelado publicamente em 27 de março, expôs dados de pelo menos 29 entidades da União Europeia. A Comissão notificou o CERT-EU sobre a violação dois dias antes, após detectar que o seu Centro de Operações de Cibersegurança não havia sido alertado sobre o uso indevido de API ou tráfego de rede anômalo até 24 de março, cinco dias após a intrusão inicial. O ataque ocorreu em 10 de março, quando o TeamPCP utilizou uma chave de API da Amazon Web Services (AWS) comprometida, obtida em um ataque à cadeia de suprimentos, para acessar o ambiente de nuvem da Comissão. Após a violação, o grupo usou a ferramenta TruffleHog para buscar credenciais adicionais e criou uma nova chave de acesso para evitar detecção. Dados pessoais, incluindo nomes e endereços de e-mail, foram expostos, e um conjunto de dados de 90 GB foi publicado no dark web pelo grupo de extorsão ShinyHunters. O CERT-EU confirmou que a violação pode afetar até 71 clientes do serviço de hospedagem da Europa, incluindo 42 clientes internos da Comissão. Embora não tenha havido interrupções nos serviços, a análise dos dados exfiltrados está em andamento e as autoridades de proteção de dados foram notificadas.

A partir desta semana, a Microsoft começou a atualizar forçadamente dispositivos não gerenciados que executam as edições Home e Pro do Windows 11 24H2 para a versão 25H2. Essa atualização é parte do ciclo de vida do sistema operacional, uma vez que o suporte para o Windows 11 24H2 terminará em aproximadamente seis meses, em 13 de outubro de 2026. A versão 25H2, também conhecida como Windows 11 2025 Update, começou a ser distribuída em setembro e é uma atualização menor, com pacotes de habilitação de menos de 200 KB. A Microsoft informou que dispositivos não gerenciados não receberão mais correções para problemas conhecidos, atualizações de segurança ou suporte técnico após a atualização. Os usuários podem optar por adiar a reinicialização do dispositivo após a instalação, mas devem instalar as atualizações mais recentes após o período de pausa. A empresa também disponibilizou um documento de suporte e um guia passo a passo para ajudar os usuários a resolver problemas durante o processo de atualização. Além disso, a Microsoft lançou várias atualizações de emergência para resolver problemas de login em contas Microsoft e vulnerabilidades de segurança em ferramentas de gerenciamento.

Daniel Rhyne, um ex-engenheiro de infraestrutura, admitiu ter invadido a rede de sua empresa, uma indústria em Nova Jersey, e bloqueado o acesso de administradores a 254 servidores. Entre 9 e 25 de novembro, ele utilizou uma conta de administrador para agendar tarefas que deletaram contas de administradores de rede e alteraram senhas de 13 contas de domínio, além de 301 contas de usuários. Rhyne também programou a alteração de senhas de contas locais que afetariam 3.284 estações de trabalho e 254 servidores, além de desligar servidores aleatórios. Após a invasão, ele enviou um e-mail de extorsão aos colegas, exigindo um resgate de 20 bitcoins (aproximadamente R$ 750 mil) sob a ameaça de desligar 40 servidores diariamente. O ataque foi planejado com pesquisas na internet sobre como manipular logs do Windows e alterar senhas. Rhyne foi preso em agosto e enfrenta até 15 anos de prisão por suas ações. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a necessidade de controles de segurança robustos.

No dia 1º de abril de 2026, a exchange descentralizada Drift, baseada em Solana, sofreu um ataque que resultou no roubo de aproximadamente $285 milhões. O ataque foi realizado por um ator malicioso que obteve acesso não autorizado ao Drift Protocol, utilizando uma técnica inovadora envolvendo ‘durable nonces’. Essa abordagem permitiu a pré-assinatura de transações, atrasando sua execução e facilitando a apropriação das permissões administrativas do Conselho de Segurança da plataforma. Importante ressaltar que o ataque não explorou vulnerabilidades nos contratos inteligentes da Drift, nem houve comprometimento de frases-semente. Em vez disso, os atacantes manipularam aprovações de transações, possivelmente através de engenharia social, para executar uma transferência administrativa maliciosa rapidamente. O incidente, que começou a ser preparado em 23 de março, está sendo investigado em colaboração com várias empresas de segurança e autoridades. Relatórios indicam que o ataque pode estar ligado a grupos de hackers da Coreia do Norte, que têm um histórico de roubo de criptomoedas para financiar programas de armas. A evolução das técnicas de engenharia social, aliada ao uso crescente de inteligência artificial, amplia o escopo das ameaças, tornando desenvolvedores e colaboradores de projetos alvos potenciais.

Pesquisadores de cibersegurança descobriram uma nova versão do malware SparkCat nas lojas de aplicativos da Apple e Google, mais de um ano após sua primeira detecção. Este trojan se disfarça em aplicativos aparentemente inofensivos, como mensageiros corporativos e serviços de entrega de alimentos, enquanto escaneia silenciosamente as galerias de fotos das vítimas em busca de frases de recuperação de carteiras de criptomoedas. A empresa russa Kaspersky identificou dois aplicativos infectados na App Store e um no Google Play, com foco em usuários de criptomoedas na Ásia. A variante para iOS se destaca por buscar frases mnemônicas em inglês, o que amplia seu alcance potencial. A versão para Android, por sua vez, apresenta várias camadas de ofuscação e busca palavras-chave em japonês, coreano e chinês. O SparkCat utiliza um modelo de reconhecimento óptico de caracteres (OCR) para extrair imagens que contêm frases de recuperação de carteiras e enviá-las a servidores controlados por atacantes. As melhorias recentes indicam que o malware está em evolução contínua, reforçando a necessidade de soluções de segurança para dispositivos móveis.