Cibersegurança

A Microsoft alertou que um grupo de hackers conhecido como Storm-2949 está explorando a funcionalidade de redefinição de senha em seus serviços, como Microsoft 365 e Azure, para sequestrar contas de usuários. O ataque ocorre quando os criminosos identificam suas vítimas, obtêm seus números de telefone e e-mails, e iniciam o processo de redefinição de senha. Em seguida, eles ligam para as vítimas, se passando por técnicos de TI, e convencem-nas a aprovar um prompt de autenticação multifatorial (MFA). Com isso, os hackers conseguem redefinir a senha e acessar informações sensíveis. A Microsoft descreveu essa campanha como metódica e sofisticada, destacando que os atacantes conseguiram baixar milhares de arquivos de contas comprometidas. Para se proteger, a empresa recomenda que os usuários limitem as permissões de controle de acesso baseado em função (RBAC) no Azure e monitorem operações de gerenciamento de alto risco. As medidas de segurança incluem a retenção de logs do Azure Key Vault e a restrição de acesso público a esses cofres, além de opções de proteção de dados no Azure Storage.

A identidade tem sido um pilar fundamental da cibersegurança, onde a verificação do usuário garante o acesso seguro. No entanto, com a evolução das ameaças, como o uso de inteligência artificial e kits de phishing sofisticados, essa abordagem está se mostrando insuficiente. A autenticação multifatorial (MFA) foi criada para mitigar esses riscos, mas ataques modernos conseguem contornar essa proteção, capturando tokens de sessão mesmo após a autenticação bem-sucedida. O NIST já alertava sobre a necessidade de não confiar implicitamente na segurança após a autenticação inicial, enfatizando a importância de verificar a postura de segurança do dispositivo ao longo de toda a sessão. A maioria das organizações ainda trata a autenticação como um evento único, ignorando que a segurança do dispositivo pode mudar durante a sessão. Para uma abordagem mais robusta, é necessário combinar a verificação contínua do dispositivo com a identidade, garantindo que o acesso permaneça condicionado à saúde do dispositivo, e não apenas à prova de identidade. Isso reduz a eficácia de credenciais roubadas e melhora a segurança geral.

O vazamento de dados da Grafana foi causado por um token de workflow do GitHub que não foi rotacionado após um ataque à cadeia de suprimentos do npm, atribuído ao grupo de hackers TeamPCP. Durante a campanha de malware Shai-Hulud, pacotes do TanStack infectados com código de roubo de credenciais foram publicados no npm, comprometendo ambientes de desenvolvimento, incluindo o da Grafana. Quando o pacote malicioso foi liberado, o workflow de CI/CD da Grafana o consumiu, permitindo que um módulo de roubo de informações executasse no ambiente do GitHub e exfiltrasse tokens de workflow para os atacantes. A Grafana detectou a atividade maliciosa em 1º de maio e implementou um plano de resposta a incidentes, mas um token foi esquecido no processo, permitindo acesso a repositórios privados da empresa. Embora o código-fonte tenha sido roubado, a Grafana assegurou que não houve impacto nos dados dos clientes e que o código baixado durante o incidente é considerado seguro. A investigação continua, e a empresa se comprometeu a notificar os clientes afetados caso novas evidências surjam.

Um novo relatório da Orchid Security revela que, em 2026, os elementos invisíveis e não gerenciados de identidade, denominados ‘dark matter’, superam os elementos visíveis em 57% a 43%. Essa situação se agrava com a crescente adoção de agentes de IA pelas empresas, que, por sua natureza, buscam atalhos para realizar tarefas. Esses agentes podem acessar sistemas de forma não autorizada, utilizando credenciais armazenadas em texto simples ou ‘pegando emprestado’ credenciais de maior privilégio. O relatório destaca três principais preocupações: 1) Dois em cada três contas não humanas são configuradas localmente, tornando-se invisíveis para os programas de gerenciamento de identidade (IAM); 2) 70% das aplicações possuem permissões excessivas, aumentando o risco de acesso indevido; 3) 40% das contas já não têm usuários autorizados, tornando-se alvos fáceis para agentes de ameaças. A gestão eficaz de identidade e acesso é, portanto, crucial para limitar as atividades dos agentes de IA dentro de limites autorizados. O relatório sugere que as organizações devem agir rapidamente para abordar essas questões, especialmente em um cenário onde a transformação digital está em alta.

Pesquisadores de cibersegurança identificaram atividades recentes do grupo de ameaças alinhado à China, conhecido como Webworm, que tem utilizado backdoors personalizados para comunicação de comando e controle (C2) via Discord e Microsoft Graph API. O Webworm, ativo desde pelo menos 2022, tem como alvo agências governamentais e empresas em setores como serviços de TI, aeroespacial e energia elétrica, principalmente na Rússia, Geórgia, Mongólia e outros países asiáticos. Em 2025, o grupo introduziu novas ferramentas, como EchoCreep e GraphWorm, que permitem upload e download de arquivos e execução de comandos. O uso de um repositório do GitHub que se disfarça de um fork do WordPress para distribuir malware é uma tática que visa evitar detecções. Além disso, o grupo tem se afastado de backdoors tradicionais, adotando ferramentas de proxy mais discretas. A análise indica que o Webworm está se expandindo para alvos na Europa e na África do Sul, o que pode representar um risco crescente para organizações em todo o mundo.

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que utilizava seu sistema Artifact Signing para distribuir códigos maliciosos, incluindo ransomware. A operação, atribuída ao grupo Fox Tempest, comprometeu milhares de máquinas em todo o mundo desde maio de 2025. A Microsoft, através da operação codinome OpFauxSign, tomou medidas drásticas, como a apreensão do site signspace[.]cloud e a desativação de centenas de máquinas virtuais associadas. O esquema permitia que cibercriminosos disfarçassem malware como software legítimo, utilizando certificados de assinatura fraudulentos válidos por apenas 72 horas. Entre os malwares distribuídos estão o ransomware Rhysida e outras famílias como Oyster e Lumma Stealer. A operação também revelou conexões com grupos de ransomware conhecidos, como INC e BlackByte, que atacaram setores críticos como saúde e finanças em países como EUA, França, Índia e China. A Microsoft destacou que a capacidade de fazer software malicioso parecer legítimo é uma ameaça significativa à segurança cibernética, tornando essencial a interrupção dessa prática.

A Microsoft apresentou duas novas ferramentas open-source, RAMPART e Clarity, para auxiliar desenvolvedores na segurança de agentes de inteligência artificial (IA). O RAMPART, que significa Plataforma de Avaliação e Medição de Risco para Red Teaming de Agentes, é um framework de testes de segurança nativo do Pytest, permitindo a criação e execução de testes que abordam tanto questões adversariais quanto benignas. Os usuários podem desenvolver casos de teste para explorar violações de segurança, como injeções de prompt e regressões comportamentais indesejadas. O Clarity, por sua vez, atua como um parceiro de pensamento para os desenvolvedores, ajudando na clarificação de problemas e na exploração de soluções antes mesmo da codificação. Ambas as ferramentas visam integrar a segurança desde as fases iniciais do desenvolvimento, permitindo que gerentes de produto e engenheiros testem suas suposições de forma eficaz. A Microsoft enfatiza que essas abordagens transformam a segurança da IA em um processo contínuo, ao invés de uma revisão pontual, promovendo um ciclo de aprendizado e mitigação de riscos ao longo do ciclo de vida do software.

O GitHub confirmou que aproximadamente 3.800 repositórios internos foram comprometidos após um de seus funcionários instalar uma extensão maliciosa no Visual Studio Code (VS Code). A empresa removeu a extensão trojanizada do marketplace e isolou o dispositivo afetado. A investigação inicial sugere que a atividade envolveu a exfiltração de repositórios internos do GitHub, sem evidências de que dados de clientes armazenados fora desses repositórios tenham sido afetados. O grupo hacker TeamPCP reivindicou o acesso ao código-fonte do GitHub e à venda de cerca de 4.000 repositórios de código privado, pedindo pelo menos US$ 50.000 pelos dados. Este incidente destaca a vulnerabilidade das extensões do VS Code, que já foram alvo de ataques anteriores, com extensões maliciosas sendo usadas para roubar credenciais de desenvolvedores. O GitHub, que abriga mais de 420 milhões de repositórios de código, é amplamente utilizado por organizações ao redor do mundo, incluindo 90% das empresas da Fortune 100.

A Microsoft divulgou uma mitigação para uma vulnerabilidade crítica no BitLocker, conhecida como YellowKey, que permite a um atacante contornar a proteção de criptografia em dispositivos Windows. A falha, identificada como CVE-2026-45585, possui uma pontuação CVSS de 6.8 e afeta diversas versões do Windows 11 e Windows Server 2025. O problema foi revelado por um pesquisador de segurança e permite que arquivos especialmente manipulados sejam usados para obter acesso não autorizado ao volume protegido pelo BitLocker. Para mitigar o risco, a Microsoft recomenda que os usuários montem a imagem do Windows Recovery Environment (WinRE) em seus dispositivos e realizem modificações específicas no registro do sistema. Além disso, a empresa sugere que os administradores mudem a configuração do BitLocker de ‘TPM-only’ para ‘TPM+PIN’, o que exige um PIN para a descriptografia do disco na inicialização, aumentando a segurança contra ataques do tipo YellowKey. A vulnerabilidade destaca a importância de manter as configurações de segurança atualizadas e de implementar medidas adicionais de autenticação em dispositivos críticos.

O GitHub está investigando uma violação de segurança em seus repositórios internos, após o grupo de hackers TeamPCP afirmar ter acessado cerca de 4.000 repositórios que contêm código privado. A plataforma, que é amplamente utilizada por mais de 4 milhões de organizações e 180 milhões de desenvolvedores, assegurou que, até o momento, não há evidências de que dados de clientes armazenados fora de seus repositórios internos tenham sido afetados. O TeamPCP anunciou a venda do código-fonte e de informações internas do GitHub por pelo menos US$ 50.000, afirmando que não se trata de um resgate, mas de uma venda legítima. O grupo já foi associado a ataques de cadeia de suprimentos em várias plataformas de desenvolvimento de código, incluindo compromissos anteriores que afetaram a segurança de imagens Docker e bibliotecas de código aberto. O GitHub está monitorando sua infraestrutura para atividades subsequentes e notificará os clientes afetados caso alguma evidência de impacto seja descoberta.

A Microsoft anunciou medidas de mitigação para a vulnerabilidade YellowKey, uma falha zero-day no BitLocker do Windows que permite acesso não autorizado a unidades protegidas. A vulnerabilidade foi revelada por um pesquisador anônimo, conhecido como ‘Nightmare Eclipse’, que também publicou um exploit de prova de conceito (PoC). O ataque envolve a colocação de arquivos ‘FsTx’ em um dispositivo USB ou partição EFI, seguido de um reinício no Windows Recovery Environment (WinRE) e a ativação de um shell com acesso irrestrito ao volume protegido pelo BitLocker. A Microsoft classificou a falha como CVE-2026-45585 e recomendou a remoção do executável autofstx.exe do registro do sistema, além de sugerir a configuração do BitLocker para exigir um PIN na inicialização. Essas medidas visam proteger os dispositivos até que uma atualização de segurança seja disponibilizada. A situação é preocupante, pois outras vulnerabilidades, como BlueHammer e RedSun, também foram divulgadas recentemente e estão sendo exploradas em ataques ativos. A empresa enfatiza a importância de seguir as orientações para mitigar os riscos associados a essa falha.

O GitHub anunciou que está investigando um acesso não autorizado a seus repositórios internos, após o grupo de cibercriminosos conhecido como TeamPCP listar o código-fonte da plataforma e informações internas à venda em um fórum de crimes cibernéticos. Embora a empresa não tenha encontrado evidências de que informações de clientes tenham sido comprometidas, está monitorando sua infraestrutura para possíveis atividades subsequentes. O TeamPCP, conhecido por ataques à cadeia de suprimentos de software, está pedindo pelo menos US$ 50.000 pelo acesso a cerca de 4.000 repositórios. O GitHub também revelou que um dispositivo de um funcionário foi comprometido por uma extensão maliciosa do Microsoft Visual Studio Code, levando à rotação de segredos críticos. Além disso, o grupo está por trás da campanha de malware Mini Shai-Hulud, que comprometeu o pacote durabletask, permitindo a exfiltração de credenciais de provedores de nuvem e ferramentas de desenvolvimento. O ataque destaca a vulnerabilidade de ambientes de desenvolvimento e a necessidade de vigilância contínua em relação a ameaças emergentes.

No dia 19 de maio de 2026, a Grafana Labs anunciou que, após investigar uma violação de segurança, não encontrou evidências de que sistemas de produção ou operações de clientes tenham sido comprometidos. O incidente se limitou ao ambiente do GitHub da empresa, que inclui código-fonte público e privado, além de repositórios internos. A violação foi originada de um ataque à cadeia de suprimentos do TanStack npm, realizado pelo grupo TeamPCP, que também afetou outras empresas como OpenAI e Mistral AI. A Grafana detectou a atividade maliciosa em 11 de maio de 2026 e, apesar de ter realizado a rotação de tokens de workflow do GitHub, um token não rotacionado permitiu o acesso dos atacantes aos repositórios. A empresa recebeu uma demanda de extorsão em 16 de maio, mas decidiu não pagar, temendo que os dados roubados não fossem excluídos e que isso pudesse incentivar futuros ataques. Desde então, a Grafana implementou medidas para reforçar sua segurança no GitHub, incluindo a rotação de tokens de automação e auditoria de commits em busca de atividades maliciosas.

O grupo de ameaças conhecido como Storm-2949 está realizando ataques direcionados a ambientes de produção do Microsoft 365 e Azure, utilizando aplicações e recursos administrativos legítimos para roubar dados sensíveis. A Microsoft identificou que o grupo emprega engenharia social para obter credenciais do Microsoft Entra ID de usuários com funções privilegiadas, como pessoal de TI e líderes seniores. Os atacantes abusam do fluxo de Redefinição de Senha de Autoatendimento (SSPR), enganando as vítimas para que aprovem solicitações de autenticação multifator (MFA). Após comprometer as contas, eles utilizam a API Microsoft Graph e scripts em Python para explorar usuários, funções e aplicações, acessando serviços como OneDrive e SharePoint para buscar informações críticas, como configurações de VPN e arquivos operacionais de TI.

O FBI revelou que os americanos perderam mais de US$ 388 milhões em 2025 devido a fraudes envolvendo quiosques de criptomoedas, também conhecidos como ATMs de Bitcoin. Esses terminais eletrônicos permitem a compra e venda de ativos digitais usando dinheiro ou cartões de débito, mas têm sido explorados por cibercriminosos que instruem as vítimas a depositar dinheiro, que é então transferido para carteiras controladas pelos atacantes. O relatório do FBI indica um aumento de quase 60% nas perdas em comparação ao ano anterior, com mais da metade das reclamações vindo de indivíduos com mais de 50 anos. Os estados de Minnesota, Indiana e Tennessee já baniram esses quiosques, enquanto o FBI recomenda medidas de proteção, como não enviar dinheiro a desconhecidos e verificar a autenticidade de solicitações de pagamento. O relatório de crimes cibernéticos do FBI também destacou que, no total, mais de 1 milhão de reclamações foram registradas, resultando em perdas de quase US$ 21 bilhões em crimes cibernéticos em geral.

O Discord anunciou que todas as chamadas de voz e vídeo na plataforma agora são protegidas por criptografia de ponta a ponta (E2EE) por padrão. A implementação foi concluída em março de 2024, após testes em larga escala que garantiram a eficácia do sistema. Com aproximadamente 690 milhões de usuários registrados, o Discord é uma plataforma popular para comunicação entre gamers, criadores e grupos de interesse. A migração para E2EE foi realizada estendendo o protocolo de criptografia de código aberto DAVE, que agora cobre mensagens diretas, grupos, canais de voz e transmissões ao vivo. Apenas os canais de palco não estão incluídos, pois são destinados a transmissões públicas. O protocolo DAVE, desenvolvido com a ajuda da Trail of Bits, utiliza transformações codificadas pelo WebRTC e segurança em camadas para garantir a privacidade dos usuários, minimizando interrupções nas chamadas. Apesar do sucesso na implementação, o Discord não planeja estender a criptografia para mensagens de texto, devido a desafios técnicos significativos. A empresa também destacou a colaboração com a Mozilla para resolver problemas de compatibilidade com o navegador Firefox.

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que explorava seu serviço de assinatura de artefatos para gerar certificados de assinatura de código fraudulentos, utilizados por gangues de ransomware e outros cibercriminosos. O grupo, identificado como Fox Tempest, criou mais de 1.000 certificados e centenas de assinaturas na plataforma Azure Artifact Signing, permitindo que malware fosse assinado digitalmente e reconhecido como software legítimo. A operação foi desmantelada em maio de 2026, com a ajuda de parceiros da indústria, e resultou na revogação de mais de mil certificados. A Microsoft também bloqueou o domínio signspace[.]cloud, utilizado para a operação, e tomou medidas contra a infraestrutura que suportava a plataforma criminosa. O malware assinado foi associado a diversas campanhas de ransomware, incluindo Rhysida e BlackByte, e permitiu que os atacantes disfarçassem software malicioso como aplicativos legítimos, como Microsoft Teams e AnyDesk. A operação gerou milhões de dólares em lucros e utilizou identidades roubadas para obter os certificados de assinatura.

A Microsoft anunciou uma ação global contra o grupo Fox Tempest, que operava um esquema de ‘Malware Signing-as-a-Service’ (MSaaS). Este grupo ajudava cibercriminosos a distribuir malwares disfarçados de softwares legítimos, utilizando certificados digitais fraudulentos. Esses certificados permitiam que arquivos maliciosos fossem instalados sem levantar suspeitas, burlando sistemas de segurança e aumentando as taxas de infecção. O esquema, que funcionava como uma plataforma clandestina, oferecia suporte via Telegram e tinha um sistema de filas para atendimento, cobrando até US$ 9,5 mil por serviços prioritários. A operação da Microsoft resultou na desativação de cerca de mil contas e na transferência de domínios maliciosos para controle da empresa, em colaboração com o FBI e Europol. O Brasil foi identificado como um dos países mais afetados, ocupando a quinta posição no ranking global de alvos. A ação destaca a evolução do cibercrime, que agora se apresenta como uma economia de serviços digitalizada, exigindo uma colaboração mais estreita entre a indústria e as autoridades para combater essas ameaças.

O grupo cibercriminoso SafePay reivindicou um ataque cibernético ocorrido em 23 de abril de 2026, que afetou os sistemas da Comissão do Condado de Harrison, na Virgínia Ocidental. O ataque resultou na interrupção do atendimento ao público no dia seguinte, quando cidadãos tentaram pagar seus impostos sobre propriedade. Embora a maioria dos sistemas tenha sido restaurada mais de uma semana depois, alguns ainda estavam fora do ar em 6 de maio. SafePay, que utiliza um esquema de extorsão dupla, exigiu um pagamento em resgate em troca da recuperação dos dados e da exclusão das informações roubadas. A Comissão do Condado não confirmou a reivindicação do grupo, e detalhes sobre a quantidade de dados comprometidos ou o valor do resgate permanecem desconhecidos. SafePay é um grupo de ransomware que começou a operar em 2024 e já reivindicou 479 ataques, com 68 confirmados. Em 2026, o grupo já reivindicou 56 ataques, sendo seis confirmados. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem comprometer dados sensíveis e interromper serviços essenciais.

O Relatório de Vulnerabilidades da Microsoft de 2026 revela que, embora o número total de vulnerabilidades tenha diminuído de 1.360 para 1.273 em 2025, as vulnerabilidades críticas dobraram, passando de 78 para 157. A concentração de falhas em Elevação de Privilégios, que representa 40% de todas as CVEs, e um aumento de 73% em falhas de Divulgação de Informações indicam que os atacantes estão priorizando métodos discretos de exploração. Em ambientes de nuvem, como Microsoft Azure e Dynamics 365, as vulnerabilidades críticas aumentaram drasticamente, o que pode comprometer operações empresariais inteiras. O relatório destaca que a gestão de patches sozinha não é suficiente; as organizações devem focar na redução de privilégios e na visibilidade de identidade. A crescente utilização de agentes de IA também exige uma postura de segurança robusta. O artigo conclui que, se as organizações não reavaliarem suas suposições sobre privilégios e identidade, o impacto de futuras violações pode ser severo, mesmo que os números de vulnerabilidades pareçam estáveis.

A rede de lojas 7-Eleven confirmou que seus sistemas foram comprometidos em um ciberataque atribuído ao grupo de extorsão ShinyHunters. O incidente ocorreu em 8 de abril de 2026, quando um terceiro não autorizado acessou sistemas que armazenam documentos de franqueados, resultando na exposição de informações pessoais de um número não divulgado de indivíduos. O grupo criminoso afirma ter roubado mais de 600.000 registros, incluindo dados corporativos e informações pessoais, após invadir o ambiente Salesforce da empresa. Após a recusa da 7-Eleven em pagar um resgate, os atacantes divulgaram um arquivo de 9,4 GB com documentos na dark web. A 7-Eleven, que opera mais de 86.000 lojas globalmente, já havia enfrentado um ataque de ransomware em 2022, que afetou suas operações na Dinamarca. O FBI aconselhou as vítimas a não ceder às demandas dos extorsionários, ressaltando que o pagamento de resgates não garante a segurança futura dos dados. Este incidente destaca a crescente ameaça de grupos de cibercrime que visam empresas de grande porte, especialmente aquelas que utilizam plataformas populares como Salesforce.

Um novo ataque da campanha Shai-Hulud resultou na publicação de mais de 600 pacotes maliciosos no Node Package Manager (npm), afetando principalmente o ecossistema @antv, que inclui bibliotecas para visualização de gráficos e fluxogramas. O ataque, que ocorreu em uma janela de apenas uma hora, coletou segredos de ambientes de desenvolvedores e CI/CD, exfiltrando-os através da rede Session P2P para dificultar a detecção. Os hackers comprometeram a conta npm de um mantenedor e injetaram um código malicioso em pacotes populares, como echarts-for-react e @antv/g2plot. A exfiltração de dados foi realizada utilizando o GitHub como um mecanismo de fallback, onde dados roubados foram publicados em repositórios sob as contas das vítimas. A nova variante do malware é capaz de gerar atestações de proveniência válidas, fazendo com que pacotes maliciosos pareçam legítimos. Especialistas recomendam que desenvolvedores que baixaram pacotes infectados removam ou revertam para versões seguras e revoguem credenciais expostas. A campanha Shai-Hulud, que começou em setembro do ano passado, continua a afetar diversos ecossistemas de software, incluindo npm, PyPI e Composer.

A Microsoft confirmou que o aplicativo de colaboração Teams está apresentando problemas em alguns sistemas macOS, com prompts de localização não descartáveis. Usuários afetados relataram que, desde 14 de maio de 2026, têm recebido repetidamente solicitações para permitir o uso de sua localização, mesmo após escolherem a opção ‘Não permitir’. A empresa atribuiu o problema a uma atualização de segurança recente do macOS, que não está armazenando as seleções de permissão de localização dos usuários. A Microsoft está trabalhando com a Apple para entender a mudança e buscar uma solução, enquanto investiga uma correção interna para o Teams. Enquanto isso, os usuários são aconselhados a ativar manualmente o acesso à localização nas configurações do macOS. O problema afeta apenas alguns usuários do Teams no Mac que habilitaram o acesso à localização nas configurações do aplicativo. A Microsoft ainda não divulgou quais regiões estão afetadas ou quantos usuários foram impactados, mas os primeiros relatos surgiram em 11 de maio. Este incidente é classificado como um aviso, indicando que o impacto é limitado.

A Microsoft anunciou a Driver Quality Initiative (DQI), uma nova estratégia para melhorar a qualidade dos drivers do Windows 11, que são essenciais para a experiência do usuário. A empresa reconheceu que a qualidade dos drivers tem diminuído, resultando em problemas como telas azuis da morte (BSOD) e falhas em jogos. A DQI se baseia em quatro pilares principais: a migração de drivers de terceiros para um modo mais seguro, uma verificação mais rigorosa dos parceiros, melhorias na higiene do catálogo do Windows Update e uma análise mais detalhada de estabilidade e desempenho. A Microsoft está colaborando com empresas como AMD e Intel para garantir que os drivers ofereçam segurança e desempenho confiáveis. Além disso, a empresa está se esforçando para reconquistar a confiança dos usuários do Windows, após críticas sobre suas recentes atualizações e mudanças de foco. Entre as melhorias esperadas para 2026 estão a restauração da barra de tarefas móvel e otimizações de desempenho para dispositivos com menos memória. Embora a implementação das mudanças ainda não tenha uma data definida, a Microsoft promete que elas serão visíveis nos próximos meses.

Em fevereiro de 2026, uma plataforma de phishing chamada EvilTokens foi lançada, comprometendo mais de 340 organizações que utilizam Microsoft 365 em cinco países em apenas cinco semanas. O ataque, conhecido como consent phishing, ocorre quando os usuários são induzidos a inserir um código em um site legítimo, acreditando que estão completando um desafio de autenticação multifatorial (MFA). Na verdade, eles entregam um token de atualização válido, que permite acesso a suas caixas de entrada, calendários e contatos, sem que o atacante precise de uma senha ou que um alerta de MFA seja acionado.

Pesquisadores de cibersegurança revelaram uma nova operação de fraude publicitária e malvertising chamada Trapdoor, que visa usuários de dispositivos Android. A operação, identificada pela equipe Satori Threat Intelligence da HUMAN, envolve 455 aplicativos maliciosos e 183 domínios de comando e controle (C2) controlados por criminosos. Os usuários baixam aplicativos que parecem ser utilitários, como visualizadores de PDF ou ferramentas de limpeza de dispositivos, sem saber que estão instalando um software malicioso. Esses aplicativos iniciam campanhas de malvertising, levando os usuários a baixar outros aplicativos maliciosos que carregam anúncios indesejados. A operação é autossustentável, transformando a instalação de um aplicativo em um ciclo de geração de receita ilícita. Em seu auge, a Trapdoor gerou 659 milhões de solicitações de lances por dia, com mais de 24 milhões de downloads de aplicativos associados. A campanha se destaca pelo uso de sites de cashout baseados em HTML5 e técnicas de ativação seletiva que evitam a detecção. Após a divulgação responsável, o Google removeu todos os aplicativos maliciosos identificados da Play Store, neutralizando a operação.

As equipes de TI enfrentam um volume crescente de alertas provenientes de diversas plataformas de monitoramento, sistemas de infraestrutura e ferramentas de segurança. Durante incidentes de rede, os respondentes frequentemente precisam alternar manualmente entre esses sistemas para entender a situação e coordenar as próximas etapas. O webinar “Do alerta à resolução: Consertando falhas na resposta a incidentes de rede”, que ocorrerá em 2 de junho de 2026, abordará como os fluxos de trabalho de resposta a incidentes podem ser otimizados com o uso de automação e inteligência artificial.

Pesquisadores de cibersegurança alertaram sobre uma versão comprometida da extensão Nx Console, publicada no Marketplace do Microsoft Visual Studio Code (VS Code). A extensão rwl.angular-console (versão 18.95.0), que possui mais de 2,2 milhões de instalações, foi afetada por um ataque que permitiu a execução silenciosa de um payload ofuscado assim que um desenvolvedor abria qualquer espaço de trabalho. Esse payload, descrito como um ‘stealer de credenciais multi-estágio’, coleta segredos de desenvolvedores e os exfiltra via HTTPS, API do GitHub e tunelamento DNS. Além disso, instala um backdoor em sistemas macOS. O ataque foi possibilitado por credenciais de um desenvolvedor que foram comprometidas em um incidente anterior. Os mantenedores da extensão alertaram que alguns usuários foram comprometidos e recomendaram a atualização para a versão 18.100.0 ou superior. O incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante contra ataques semelhantes, especialmente em um cenário onde pacotes maliciosos têm se proliferado em repositórios de código aberto.

Pesquisadores da InfoGuard Labs identificaram vulnerabilidades críticas no SEPPMail Secure E-Mail Gateway, uma solução de segurança de e-mail empresarial. Essas falhas podem ser exploradas para execução remota de código e leitura de e-mails arbitrários. Entre as vulnerabilidades destacadas, a CVE-2026-2743, com pontuação CVSS de 10.0, permite a execução de código remoto através de uma vulnerabilidade de travessia de caminho na interface web do SEPPMail. Outras falhas, como a CVE-2026-44128, possibilitam a execução de código remoto não autenticado, utilizando injeção de eval em parâmetros de usuário. Os pesquisadores alertam que um atacante poderia, por exemplo, sobrescrever a configuração do syslog do sistema, obtendo controle total do appliance SEPPMail e acessando todo o tráfego de e-mail. Embora algumas vulnerabilidades já tenham sido corrigidas em versões recentes, a gravidade das falhas restantes exige atenção imediata dos administradores de sistemas. A situação é preocupante, especialmente considerando que a SEPPMail já havia lançado atualizações para corrigir outra falha crítica recentemente.

O phishing se tornou uma ameaça crescente para as empresas, especialmente devido à sua capacidade de se disfarçar como comunicações legítimas. Um único clique em um e-mail malicioso pode resultar em exposição de identidade, acesso remoto e comprometimento de dados. A detecção precoce de phishing é crucial para mitigar esses riscos, permitindo que as equipes de segurança cibernética (SOCs) respondam rapidamente a incidentes. O uso de sandboxes interativas é uma estratégia eficaz para analisar e validar o comportamento de links suspeitos, revelando a verdadeira natureza das ameaças. Além disso, a contextualização das ameaças permite que as equipes compreendam se um ataque é isolado ou parte de uma campanha mais ampla, facilitando a priorização das respostas. A integração de inteligência de ameaças em ferramentas de segurança existentes é fundamental para detectar e bloquear atividades relacionadas, reduzindo a exposição operacional. Com a crescente sofisticação dos ataques de phishing, é essencial que as empresas adotem essas práticas para proteger suas operações e dados.

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu diversos pacotes npm associados ao ecossistema @antv, parte da onda de ataques Mini Shai-Hulud. O ataque afeta pacotes vinculados à conta de mantenedor npm atool, incluindo o popular echarts-for-react, que possui cerca de 1,1 milhão de downloads semanais. A campanha resultou na publicação de 639 versões maliciosas em 323 pacotes únicos, com um foco em roubo de credenciais de mais de 20 tipos, incluindo AWS, Google Cloud e GitHub. Os dados coletados são criptografados e enviados para um domínio controlado pelos atacantes. Além disso, a campanha utiliza uma lógica de propagação que abusa de tokens npm roubados para injetar cargas maliciosas em pacotes legítimos. O grupo responsável, TeamPCP, agora liberou o código-fonte do seu framework ofensivo, permitindo que outros atores maliciosos adotem suas técnicas. Este incidente destaca a vulnerabilidade das ferramentas de desenvolvimento confiáveis e a necessidade de vigilância constante em ambientes de CI/CD.

Um novo ataque à cadeia de suprimentos de software comprometeu o popular fluxo de trabalho do GitHub Actions, actions-cool/issues-helper, permitindo que atores maliciosos executassem código que coleta credenciais sensíveis e as exfiltra para um servidor controlado por atacantes. Segundo Varun Sharma, pesquisador da StepSecurity, todos os tags existentes no repositório foram redirecionados para um commit falso que não aparece no histórico normal do projeto. Esse commit contém código malicioso que, ao ser executado, baixa o runtime Bun JavaScript, lê a memória do processo Runner.Worker para extrair credenciais e faz uma chamada HTTPS para um domínio controlado por atacantes. Além disso, 15 tags de outra ação do GitHub, actions-cool/maintain-one-comment, também foram comprometidas com a mesma funcionalidade. O GitHub desativou o acesso ao repositório devido a uma violação dos termos de serviço, mas ainda não se sabe o que levou a essa decisão. O domínio de exfiltração observado está relacionado a uma campanha maior, Mini Shai-Hulud, que visa pacotes npm do ecossistema @antv, indicando que as atividades podem estar interligadas. A StepSecurity alerta que qualquer fluxo de trabalho que referencie a ação por versão puxará o código malicioso em sua próxima execução, a menos que esteja fixado em um SHA de commit conhecido como seguro.

O uso de ferramentas de inteligência artificial (IA) no ambiente corporativo tem crescido exponencialmente, com a maioria dos funcionários utilizando de três a cinco aplicativos de IA diariamente, muitos dos quais não foram aprovados pela equipe de TI. Essa prática, conhecida como Shadow AI, representa um risco significativo, pois muitas dessas ferramentas acessam dados corporativos por meio de tokens OAuth ou sessões de navegador, sem que a equipe de segurança tenha visibilidade sobre isso. Um estudo da Adaptive Security revela que 80% dos funcionários utilizam aplicações de IA generativa não autorizadas, enquanto apenas 12% das empresas possuem uma política formal de governança de IA. Para mitigar esses riscos, o artigo sugere um programa de governança em cinco etapas: 1) identificar todas as ferramentas de IA em uso; 2) elaborar uma política que funcione em conjunto com os funcionários; 3) criar um processo ágil para solicitações de novas ferramentas; 4) implementar monitoramento contínuo; e 5) facilitar comportamentos de segurança adequados. A falta de controle sobre o uso de IA pode levar a exposições de dados sensíveis, tornando essencial que as empresas adotem uma abordagem proativa para gerenciar essas tecnologias emergentes.

Uma nova variante do infostealer SHub, chamada Reaper, foi identificada como uma ameaça significativa para usuários de macOS. Utilizando AppleScript, o malware exibe uma mensagem falsa de atualização de segurança e instala uma backdoor no sistema. Ao contrário das campanhas anteriores que dependiam de táticas de ‘ClickFix’, o Reaper utiliza o esquema de URL applescript:// para lançar o Editor de Script do macOS com um AppleScript malicioso. Essa abordagem contorna as mitig ações introduzidas pela Apple em março de 2023, que bloqueavam comandos potencialmente prejudiciais no Terminal.

A INTERPOL coordenou uma operação inédita de combate ao cibercrime na região do Oriente Médio e Norte da África (MENA), resultando em 201 prisões e a identificação de 382 suspeitos entre outubro de 2025 e fevereiro de 2026. A operação, chamada Ramz, teve como foco a neutralização de ameaças de phishing e malware, além de fraudes cibernéticas que causam prejuízos significativos à região. Durante a ação, 3.867 vítimas foram identificadas e 53 servidores foram apreendidos. As autoridades da Argélia desmantelaram uma infraestrutura de phishing como serviço (PhaaS), enquanto no Marrocos foram confiscados dispositivos com dados bancários. Em Omã, um servidor legítimo foi encontrado com vulnerabilidades críticas e infectado por malware. A operação também revelou que dispositivos comprometidos estavam sendo usados no Catar sem o conhecimento dos proprietários. Além disso, a polícia da Jordânia prendeu 15 indivíduos envolvidos em fraudes financeiras, que eram, na verdade, vítimas de tráfico humano. A operação envolveu 13 países e destacou a importância da colaboração internacional no combate ao cibercrime.

Com o aumento dos vazamentos de dados no Brasil, onde mais de 200 milhões de dados foram expostos apenas no último trimestre de 2025, é crucial que as empresas estejam preparadas para lidar com incidentes de segurança. O planejamento prévio é fundamental, pois a contenção e reparação de um vazamento exigem decisões rápidas. Um plano de resposta a incidentes deve ser formalmente implementado e amplamente disseminado na organização, estabelecendo fluxos claros para identificação, investigação e comunicação de incidentes. A figura do DPO (Encarregado pelo Tratamento de Dados Pessoais) é central nesse processo, coordenando a comunicação entre as áreas e orientando sobre as medidas a serem adotadas. Além disso, a criação de uma cultura organizacional voltada para a proteção de dados é essencial. As empresas devem optar por uma abordagem proativa, minimizando os impactos de um incidente, que pode afetar tanto a reputação quanto a conformidade com a LGPD. A rapidez na resposta e a clareza nas responsabilidades são determinantes para evitar consequências catastróficas.

Linus Torvalds, criador do Linux, expressou preocupações sobre o impacto negativo que os relatórios de bugs gerados por inteligência artificial (IA) estão tendo na lista de segurança do Linux. Ele afirmou que a inundação de relatórios duplicados e irrelevantes tornou a lista ‘quase totalmente inadministrável’. Torvalds destacou que muitos dos bugs detectados por ferramentas de IA não são segredos e que a repetição de relatórios apenas aumenta a confusão. Ele incentivou os pesquisadores a contribuírem de forma mais significativa, sugerindo que, ao invés de apenas enviar relatórios automatizados, eles deveriam ler a documentação e criar patches que realmente agreguem valor. Essa situação não é única do Linux; projetos como curl e a equipe de recompensas de bugs da HackerOne também enfrentaram problemas semelhantes, levando a restrições em seus programas de recompensas. A crescente dependência de ferramentas de IA para identificação de bugs levanta questões sobre a eficácia e a qualidade das contribuições na comunidade de código aberto.

O grupo cibercriminoso conhecido como DragonForce reivindicou um ataque cibernético à AdvancedHealth, uma empresa que opera centenas de clínicas médicas no Tennessee. Em abril, a Columbia Surgical Partners, uma das clínicas, notificou pacientes sobre uma violação de dados em sua empresa-mãe, a Advanced Diagnostic Imaging. Em 14 de maio, DragonForce anunciou em seu site de vazamento que havia roubado 390 GB de dados da AdvancedHealth, incluindo 2,3 milhões de linhas de dados de pacientes, acordos com parceiros, arquivos de gestão, folha de pagamento e recursos humanos. O grupo ameaçou divulgar 1.000 linhas de dados por dia até que sua demanda de resgate fosse atendida. A AdvancedHealth não comentou sobre a violação e não confirmou a reivindicação do DragonForce. O ataque de ransomware afetou o acesso da Columbia Surgical Partners a registros médicos eletrônicos. DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 167 ataques em 2026, com 14 confirmados. O impacto de ataques de ransomware no setor de saúde é significativo, podendo comprometer a segurança e a privacidade dos pacientes, além de causar interrupções nos serviços médicos.

A Grafana Labs, responsável pela popular plataforma de análise e visualização de dados, confirmou que hackers acessaram seu código-fonte após uma violação em seu ambiente do GitHub, utilizando um token de acesso roubado. O grupo de extorsão conhecido como CoinbaseCartel reivindicou a responsabilidade pelo ataque, embora até o momento não tenha vazado dados. A empresa afirmou que não houve exposição de dados de clientes ou informações pessoais, e que os sistemas dos clientes permaneceram inalterados. Após a investigação, a Grafana invalidou as credenciais comprometidas e implementou medidas de segurança adicionais. O grupo de hackers tentou extorquir a empresa, exigindo pagamento para não publicar o código-fonte roubado, mas a Grafana optou por não ceder à demanda, seguindo as orientações do FBI, que desaconselha o pagamento de resgates. O CoinbaseCartel, que começou suas atividades em setembro do ano passado, já anunciou mais de 100 vítimas em seu portal de vazamento de dados, utilizando técnicas como engenharia social e phishing para obter acesso a redes-alvo. A Grafana planeja divulgar mais detalhes sobre o incidente após a conclusão de sua investigação.

Recentemente, o malware Shai-Hulud, que vazou na semana passada, foi utilizado em novos ataques ao índice do Node Package Manager (npm). Um ator de ameaça, utilizando a conta deadcode09284814, publicou quatro pacotes maliciosos, sendo que um deles continha uma versão não ofuscada do Shai-Hulud, visando credenciais de desenvolvedores, segredos, dados de carteiras de criptomoedas e informações de contas. Os pacotes infectados exfiltravam informações, como credenciais e arquivos de configuração, e um deles transformava o sistema em um bot para atividades de negação de serviço distribuído (DDoS). Pesquisadores da OXsecurity identificaram esses uploads maliciosos e notaram que o ator utilizou nomes com erros de digitação (typosquatting) para enganar usuários do Axios. O pacote chalk-tempalte, que contém um clone do malware, é o primeiro caso documentado de uma cópia do Shai-Hulud implantada no npm. O código malicioso ainda mantém a funcionalidade de publicação no GitHub, o que permite o upload de credenciais roubadas em repositórios públicos. Os pesquisadores recomendam que desenvolvedores que baixaram pacotes infectados os removam imediatamente e rotacionem suas credenciais e chaves de API.

O cenário de cibersegurança apresenta uma série de incidentes preocupantes, incluindo a exploração ativa de uma vulnerabilidade no Microsoft Exchange Server, identificada como CVE-2026-42897, com um CVSS de 8.1. Essa falha, que permite spoofing devido a um erro de cross-site scripting, está sendo explorada, embora detalhes sobre os atacantes e a extensão dos ataques ainda sejam desconhecidos. Além disso, um grupo de ameaças sofisticadas, UAT-8616, está atacando o Cisco Catalyst SD-WAN Controller, utilizando uma falha crítica de bypass de autenticação (CVE-2026-20182) para obter acesso não autorizado e escalar privilégios. Outro ataque significativo foi atribuído ao TeamPCP, que comprometeu pacotes npm, visando a cadeia de suprimentos de software para implantar malware e roubar credenciais. Esses incidentes destacam a importância de uma vigilância constante e de ações rápidas para mitigar riscos. Por fim, a Apple e o Google estão implementando mensagens RCS com criptografia de ponta a ponta, enquanto a Instructure chegou a um acordo com os atacantes do grupo ShinyHunters após um ataque que comprometeu dados de instituições educacionais.

A Microsoft confirmou que a atualização de segurança do Windows 11 de maio de 2026 (KB5089549) está apresentando falhas de instalação em alguns sistemas, resultando em erros 0x800f0922. Esse problema é causado pela falta de espaço livre na Partição do Sistema EFI (ESP), especialmente em dispositivos com 10 MB ou menos disponíveis. A instalação pode avançar nas fases iniciais, mas falha durante a reinicialização, gerando a mensagem ‘Algo não saiu como planejado. Desfazendo alterações.’ Os usuários afetados podem encontrar entradas de log que indicam a insuficiência de espaço na ESP. A Microsoft está trabalhando na resolução do problema e recomenda que os clientes afetados utilizem o recurso Known Issue Rollback para reverter a atualização problemática. Em ambientes corporativos, os administradores de TI podem mitigar a situação instalando e configurando uma Política de Grupo específica. Além disso, a atualização KB5089549 foi lançada juntamente com outras correções e melhorias, incluindo um conserto para um problema que fazia alguns sistemas do Windows 11 inicializarem na recuperação do BitLocker após a instalação das atualizações de segurança de abril de 2026.

Pesquisadores de cibersegurança identificaram quatro novos pacotes npm que contêm malware projetado para roubar informações. Um dos pacotes, chamado ‘chalk-tempalte’, é uma cópia do worm Shai-Hulud, que foi vazado recentemente. Os pacotes foram publicados por um usuário identificado como ‘deadcode09284814’ e, embora todos contenham cargas maliciosas, suas funcionalidades variam. O pacote ‘axois-utils’ é destinado a criar um botnet de negação de serviço distribuído (DDoS) chamado Phantom Bot, capaz de inundar sites com tráfego. Os outros três pacotes, incluindo ‘chalk-tempalte’, são projetados para extrair credenciais como chaves SSH, variáveis de ambiente e dados de carteiras de criptomoedas. Os pesquisadores alertam que esses ataques estão se tornando mais comuns, especialmente com a disponibilização do código do Shai-Hulud como open source. Os usuários que baixaram esses pacotes devem desinstalá-los imediatamente e tomar medidas para proteger suas credenciais e sistemas. Até o momento, os pacotes ainda estão disponíveis para download no npm.

O pesquisador de segurança Chaotic Eclipse divulgou uma prova de conceito (PoC) para uma vulnerabilidade zero-day no Windows, chamada MiniPlasma, que permite a elevação de privilégios para SYSTEM em sistemas Windows totalmente atualizados. A falha, que afeta o driver ‘cldflt.sys’ (Windows Cloud Files Mini Filter Driver), foi inicialmente reportada ao Microsoft por James Forshaw, do Google Project Zero, em setembro de 2020. Embora a Microsoft tenha supostamente corrigido a vulnerabilidade em dezembro de 2020, Chaotic Eclipse descobriu que o problema persiste sem correção. A PoC original funcionou sem alterações, e o pesquisador conseguiu criar uma versão armada que abre um shell SYSTEM. A vulnerabilidade parece afetar todas as versões do Windows, com testes indicando que funciona de forma confiável em sistemas Windows 11 com as atualizações mais recentes. A Microsoft já havia abordado outra falha de elevação de privilégios no mesmo componente em dezembro de 2025, mas a MiniPlasma continua sem solução. A situação é preocupante, pois a exploração dessa vulnerabilidade pode permitir que atacantes obtenham controle total sobre sistemas vulneráveis.

Recentemente, várias empresas de tecnologia, incluindo Ivanti, Fortinet, SAP e VMware, divulgaram correções para vulnerabilidades críticas que podem ser exploradas por atacantes para contornar autenticações e executar códigos maliciosos. A falha mais grave foi identificada na Ivanti Xtraction (CVE-2026-8043), com uma pontuação CVSS de 9.6, permitindo que um atacante remoto autenticado acesse arquivos sensíveis e escreva HTML arbitrário em diretórios da web. Fortinet também relatou duas vulnerabilidades críticas (CVE-2026-44277 e CVE-2026-26083) que podem permitir a execução de código não autorizado. Além disso, a SAP corrigiu falhas críticas em seu software S/4HANA e na configuração do SAP Commerce Cloud, ambas com pontuação CVSS de 9.6, que podem resultar em injeções SQL e execução de código no servidor. A VMware lançou um patch para uma vulnerabilidade que pode permitir a escalada de privilégios locais. O n8n, uma plataforma de automação, também corrigiu cinco vulnerabilidades críticas que permitem a execução remota de código. As atualizações são essenciais para proteger sistemas e dados sensíveis contra possíveis ataques.

Recentemente, três campanhas de ataque à cadeia de suprimentos atingiram plataformas populares como npm, PyPI e Docker Hub, focando no roubo de credenciais de ambientes de desenvolvedores e pipelines CI/CD. Os atacantes estão utilizando pacotes comprometidos, ferramentas de desenvolvimento vulneráveis e automação para coletar segredos como chaves de API, credenciais de nuvem e tokens. O artigo destaca que a segurança deve se concentrar não apenas em repositórios e ambientes de produção, mas também nas estações de trabalho dos desenvolvedores, que contêm informações sensíveis que podem ser exploradas. A velocidade dos ataques modernos, potencializada por ferramentas de automação e inteligência artificial, exige que as equipes de segurança reavaliem suas estratégias. Perguntas cruciais surgem, como a capacidade de identificar e limitar o uso de credenciais a partir das estações de trabalho dos desenvolvedores, bem como a detecção de materiais sensíveis antes que sejam expostos. O artigo conclui que a proteção das estações de trabalho deve ser vista como uma fronteira crítica na cadeia de suprimentos de software.

O concurso de hacking Pwn2Own Berlin 2026, realizado entre 14 e 16 de maio na OffensiveCon, resultou em prêmios totais de $1,298,250, após a exploração de 47 falhas zero-day. Os pesquisadores de segurança focaram em tecnologias empresariais e inteligência artificial, atacando produtos totalmente atualizados, incluindo navegadores, aplicações empresariais e ambientes de virtualização. No primeiro dia, foram exploradas 24 falhas, gerando $523,000 em recompensas. No segundo, 15 falhas renderam $385,750, e no terceiro, 8 falhas resultaram em $389,500. A equipe DEVCORE se destacou, acumulando 50.5 pontos e $505,000 em prêmios, após comprometer produtos da Microsoft como SharePoint e Exchange. A maior recompensa, de $200,000, foi concedida a Cheng-Da Tsai por uma cadeia de bugs que permitiu execução remota de código no Microsoft Exchange. Após o evento, os fornecedores têm 90 dias para lançar patches de segurança antes que as falhas sejam divulgadas publicamente pela TrendMicro’s Zero Day Initiative.

Um novo relatório revela que 48 nações insulares dependem de apenas 126 cabos submarinos para sua conectividade com a internet, tornando-as vulneráveis a interrupções. A maioria dos danos a esses cabos ocorre devido a ancoragens acidentais, representando entre 70% e 80% dos casos, enquanto o restante é atribuído a falhas técnicas ou ações maliciosas. Nações como Tuvalu, Nauru e Kiribati estão particularmente em risco, pois dependem de um único cabo submarino, o que significa que qualquer interrupção resulta em um apagão total da internet. O relatório também destaca que tensões geopolíticas estão transformando o fundo do mar em um novo campo de batalha, com países como Irã e Reino Unido monitorando a localização desses cabos. A falta de redundância e a dificuldade de monitoramento tornam essas nações ainda mais expostas a possíveis ataques ou danos acidentais, o que pode levar a uma desconexão total e prolongada. A situação é alarmante, pois a conectividade é crucial para a economia e a comunicação dessas nações.

Um pesquisador de cibersegurança divulgou um exploit de prova de conceito para uma vulnerabilidade zero-day no Windows, chamada MiniPlasma, que permite a atacantes obter privilégios de SYSTEM em sistemas Windows totalmente atualizados. O exploit foi publicado por Chaotic Eclipse, que alega que a Microsoft não corrigiu adequadamente uma vulnerabilidade reportada em 2020, identificada como CVE-2020-17103, que afeta o driver ‘cldflt.sys’. O pesquisador afirma que a falha ainda está presente e pode ser explorada, permitindo a criação de chaves de registro sem as devidas verificações de acesso. Testes realizados confirmaram que o exploit funciona em versões atualizadas do Windows 11, mas não na versão Insider Preview. Chaotic Eclipse também criticou o processo de recompensa por bugs da Microsoft, alegando que sua experiência com a empresa foi negativa. O MiniPlasma é o mais recente de uma série de divulgações de zero-days que incluem outras vulnerabilidades, como BlueHammer e RedSun, que já foram exploradas em ataques. A Microsoft foi contatada para comentar sobre a nova vulnerabilidade, mas ainda não respondeu.

Um novo estudo da F-Secure revela que mais da metade dos consumidores americanos, cerca de 56%, enfrentará tentativas de fraudes online mensalmente em 2025. A pesquisa, que abrangeu 10.000 consumidores, mostra que 52% dos afetados perderão dinheiro em ataques, com o número de vítimas financeiras mais que dobrando em relação ao ano anterior. Embora a exposição a fraudes não esteja aumentando tão rapidamente, a eficácia dos golpistas em monetizar ataques está crescendo. Os criminosos estão se concentrando em fraudes de maior valor, como golpes de faturas falsas e fraudes de investimento. A inteligência artificial (IA) tem sido um fator significativo, permitindo que os golpistas aprimorem suas táticas de ataque, incluindo a criação de e-mails personalizados e a utilização de vozes sintéticas. Além disso, 69% dos consumidores acreditam que podem identificar fraudes, mas 43% deles acabaram se tornando vítimas. O estudo também destaca a crescente importância das redes sociais como vetor de ataque, com um aumento de oito vezes nas perdas financeiras entre 2020 e 2025. A pesquisa sugere que as empresas de telecomunicações devem assumir um papel ativo na proteção dos consumidores, já que 93% dos entrevistados acreditam que essas empresas devem oferecer medidas de segurança.