Cibersegurança

O Google anunciou que seus novos smartphones Pixel 10 suportam o padrão C2PA (Coalition for Content Provenance and Authenticity) para verificar a origem e a história de conteúdos digitais. Essa funcionalidade foi integrada aos aplicativos Pixel Camera e Google Photos, visando aumentar a transparência na mídia digital. As Credenciais de Conteúdo do C2PA são um manifesto digital assinado criptograficamente que fornece uma proveniência verificável para conteúdos digitais, como imagens e vídeos. O aplicativo de câmera do Pixel 10 alcançou o Nível de Garantia 2, a mais alta classificação de segurança definida pelo programa de conformidade do C2PA, sendo essa classificação atualmente exclusiva da plataforma Android. Além disso, os dispositivos Pixel 10 oferecem timestamps confiáveis gerados no próprio dispositivo, garantindo que as imagens capturadas possam ser confiáveis mesmo após a expiração do certificado. Essa inovação é possibilitada por uma combinação do chip de segurança Titan M2 e recursos de segurança integrados ao sistema operacional Android. O Google enfatiza que as Credenciais de Conteúdo do C2PA são um passo importante para aumentar a transparência e a confiança na mídia digital, especialmente em um contexto onde a inteligência artificial está cada vez mais presente na criação de conteúdos.

A Jaguar Land Rover (JLR), subsidiária da Tata Motors, confirmou um ciberataque que resultou no vazamento de dados internos, paralisando suas fábricas e fechando lojas por tempo indeterminado. O incidente, que começou em 2 de setembro, teve um impacto significativo na produção de veículos da empresa. A JLR está investigando o caso com o apoio do Centro Nacional de Ciber Segurança do Reino Unido (NCSC) e notificou as autoridades sobre o vazamento. Embora a investigação continue, a empresa ainda não conseguiu identificar um grupo cibercriminoso específico responsável pelo ataque. Um grupo chamado Scattered Lapsus$ Hunters alegou ter realizado a invasão, compartilhando capturas de tela do sistema interno da JLR e afirmando ter implantado ransomwares. Este grupo é associado a outros cibercriminosos conhecidos por extorquir empresas. A JLR não confirmou a veracidade das alegações do grupo. O incidente destaca a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância constante na proteção de dados corporativos.

Pesquisadores de segurança alertam que o ransomware Akira está explorando uma vulnerabilidade antiga no SSLVPN da SonicWall, afetando firewalls das gerações Gen5, Gen6 e Gen7 que ainda não foram atualizados. Essa falha de controle de acesso inadequado foi descoberta e corrigida há mais de um ano, mas muitas organizações ainda não aplicaram o patch necessário. Além de atacar firewalls desatualizados, o Akira também se aproveita de configurações padrão do grupo LDAP e do acesso público ao Virtual Office Portal da SonicWall. Isso permite que usuários sem as permissões adequadas acessem o SSLVPN. Os especialistas da Rapid7 recomendam que as empresas troquem senhas de todas as contas SonicWall, configurem corretamente as políticas de autenticação multifator (MFA) e restrinjam o acesso ao Virtual Office Portal apenas a redes internas confiáveis. O Akira tem se mostrado ativo nos últimos dois anos, com um foco agressivo em dispositivos de borda, o que representa um risco significativo para as organizações que não tomarem medidas imediatas.

A LNER (London North Eastern Railway) confirmou um vazamento de dados de passageiros devido a uma intrusão cibernética não autorizada em arquivos de um fornecedor terceirizado. O incidente foi detectado em 9 de outubro de 2025 e imediatamente escalado para uma resposta de incidente de alto nível. A empresa destacou que os dados comprometidos não incluem informações financeiras ou de autenticação, limitando-se a nomes, endereços de e-mail, números de telefone e itinerários de viagens anteriores. A LNER enfatiza que isso minimiza o risco de fraudes financeiras ou de tomada de conta. O fornecedor envolvido está colaborando com especialistas em cibersegurança para investigar a fundo o incidente e implementar medidas de segurança adicionais. Os passageiros afetados foram aconselhados a ter cautela ao receber comunicações não solicitadas e a verificar a legitimidade de qualquer contato através dos canais oficiais da LNER. Apesar do incidente, a plataforma de bilhetagem e os serviços ferroviários da LNER permanecem operacionais e seguros, sem impacto nas operações ou na compra de bilhetes.

Uma vulnerabilidade crítica no plugin etcd do CoreDNS foi revelada, permitindo que atacantes com acesso de escrita a daemons etcd fixem entradas de cache DNS indefinidamente, interrompendo atualizações de serviço. A falha, identificada como GHSA-93mf-426m-g6x9, resulta de um uso inadequado de identificadores de lease do etcd como valores de tempo de vida (TTL), levando a durações de cache extremas que podem durar anos. Usuários do CoreDNS versão 1.2.0 e superiores devem atualizar para a versão 1.12.4 imediatamente para mitigar esse problema de alta severidade. O erro ocorre na função TTL() do arquivo plugin/etcd/etcd.go, onde um ID de lease de 64 bits é tratado como um inteiro sem sinal de 32 bits, resultando em valores de TTL extremamente altos. Isso faz com que resolvers e clientes armazenem respostas DNS por períodos muito além do esperado, ignorando mudanças legítimas de serviço. Para explorar a vulnerabilidade, um atacante precisa apenas de privilégios de escrita no etcd, que podem ser obtidos por meio de contas de serviço comprometidas ou configurações inadequadas. A atualização do CoreDNS corrige o cálculo do TTL e introduz limites configuráveis para evitar durações de cache excessivas. É recomendado que operadores de instâncias vulneráveis apliquem o patch imediatamente e revisem os controles de acesso do etcd.

Uma nova vulnerabilidade de alta severidade (CVE-2025-59052) foi descoberta na funcionalidade de renderização do lado do servidor (SSR) do Angular, colocando em risco dados de usuários. Essa falha permite que atacantes acessem informações de outras sessões durante operações de alta concorrência. O problema se origina de uma condição de corrida global no injetor da plataforma SSR do Angular, que armazena dados específicos de cada requisição durante a renderização. Quando múltiplas requisições são processadas simultaneamente, o estado do injetor global pode ser compartilhado ou sobrescrito, resultando em vazamento de dados entre requisições. Isso significa que dados sensíveis, como tokens de autenticação e configurações de usuários, podem ser inadvertidamente retornados a usuários não autorizados. A exploração da falha não requer privilégios especiais ou interação do usuário, tornando-a um risco significativo para aplicações web de alto tráfego. O Angular já lançou correções automáticas para as versões 18, 19 e 20, e recomenda que as equipes desativem o SSR ou removam lógica assíncrona de funções de bootstrap personalizadas até que as atualizações sejam implementadas.

O grupo de ransomware Akira tem intensificado seus ataques a dispositivos SonicWall, especialmente aqueles que utilizam a SSL VPN. A empresa de cibersegurança Rapid7 relatou um aumento nas intrusões envolvendo esses aparelhos, que se intensificaram após a reativação das atividades do grupo em julho de 2025. A SonicWall identificou que os ataques exploram uma vulnerabilidade de um ano (CVE-2024-40766, com pontuação CVSS de 9.3), onde senhas de usuários locais não foram redefinidas durante uma migração. A empresa recomenda que os clientes ativem o filtro de botnets e as políticas de bloqueio de contas para mitigar os riscos. Além disso, a SonicWall alertou sobre a configuração inadequada dos grupos de usuários padrão do LDAP, que pode permitir que contas comprometidas herdem permissões indevidas. O grupo Akira, que já afetou 967 vítimas desde sua criação em março de 2023, utiliza técnicas sofisticadas, como phishing e SEO, para disseminar malware e realizar operações de ransomware. As organizações são aconselhadas a rotacionar senhas, remover contas inativas e restringir o acesso ao portal Virtual Office. O Australian Cyber Security Centre também confirmou que o grupo está atacando organizações australianas vulneráveis através de dispositivos SonicWall.

A Norton VPN anunciou a adição do suporte para OpenVPN Data Channel Offload (DCO) em seu cliente VPN para Windows, uma atualização que promete dobrar a velocidade de conexão e reduzir a latência em até 15%. Essa funcionalidade, que transfere o processamento de criptografia do software para o hardware do computador, visa melhorar a eficiência e a experiência do usuário, especialmente em atividades como jogos e streaming. A implementação do DCO está disponível para novos usuários e será liberada para assinantes existentes nas próximas semanas, exigindo a atualização para a versão 25.8 ou superior do cliente. A Norton VPN se junta a um seleto grupo de provedores que oferecem essa tecnologia, incluindo ExpressVPN e Surfshark. Embora a Norton tenha sido criticada anteriormente por suas velocidades no OpenVPN, essa atualização pode melhorar sua posição no mercado, especialmente em comparação com concorrentes que já oferecem soluções de alta velocidade. Os usuários podem experimentar a Norton VPN através de um teste gratuito de 30 dias, com planos a partir de $3,33 por mês em um contrato anual.

A FastNetMon, uma das principais fornecedoras de soluções de detecção e mitigação de DDoS, anunciou que conseguiu identificar e mitigar um ataque de negação de serviço distribuído (DDoS) sem precedentes, gerando 1,5 bilhão de pacotes por segundo (Gpps) contra um grande fornecedor na Europa Ocidental. Este ataque, que começou nas primeiras horas de 8 de setembro de 2025, foi principalmente um ataque de inundação UDP, projetado para sobrecarregar a capacidade do alvo de processar pacotes, em vez de saturar a largura de banda. Os atacantes utilizaram uma botnet composta por mais de 11.000 dispositivos, incluindo roteadores domésticos e câmeras IP, que foram comprometidos devido a vulnerabilidades não corrigidas e credenciais padrão. Pavel Odintsov, fundador da FastNetMon, alertou sobre o crescente uso de dispositivos de consumo inseguros como ferramentas de ataque. O incidente destaca a necessidade de estratégias de mitigação especializadas, uma vez que ataques de alta taxa de pacotes podem explorar gargalos de processamento, exigindo detecções e respostas rápidas. A situação é um lembrete da crescente complexidade e sofisticação das ameaças cibernéticas atuais.

Pesquisadores de segurança da DomainTools identificaram uma nova onda de infraestrutura maliciosa associada ao ator de ameaça PoisonSeed, com 21 domínios registrados desde 1º de junho de 2025. A campanha visa principalmente clientes do SendGrid e ambientes empresariais, representando uma continuação das operações de phishing sofisticadas semelhantes ao grupo de cibercrime SCATTERED SPIDER. Os domínios recém-descobertos seguem as táticas, técnicas e procedimentos (TTPs) estabelecidos pelo PoisonSeed, utilizando intersticiais de CAPTCHA falsos da Cloudflare para adicionar legitimidade antes de redirecionar as vítimas para páginas de coleta de credenciais. Os pesquisadores observaram que esses domínios maliciosos exibem dados falsificados de Ray ID da Cloudflare, imitando processos de verificação de segurança legítimos. A infraestrutura maliciosa demonstra padrões de registro e hospedagem consistentes com campanhas anteriores do PoisonSeed, sendo todos os domínios registrados através do NiceNIC International Group Co. e hospedados em endereços IP específicos. A análise sugere que as operações do PoisonSeed podem estar conectadas ao coletivo de cibercrime “The Com”, que inclui jovens envolvidos em ataques motivados financeiramente desde 2022. Organizações que utilizam SendGrid devem implementar monitoramento aprimorado para solicitações de autenticação suspeitas e verificar comunicações através de canais oficiais antes de fornecer credenciais.

Pesquisadores do Zscaler ThreatLabz identificaram uma campanha de malware sofisticada que visa usuários de língua chinesa desde maio de 2025, introduzindo uma nova família de Trojans de Acesso Remoto (RAT) chamada kkRAT. Os atacantes utilizam sites de phishing hospedados no GitHub Pages, disfarçando-se como instaladores de software legítimos para distribuir arquivos ZIP maliciosos. Esses arquivos contêm um executável benigno e uma DLL maliciosa que carrega o payload final, que pode ser ValleyRAT, FatalRAT ou kkRAT, dependendo do caso.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada no Cursor AI Code Editor, permitindo que atacantes executem comandos arbitrários na máquina de um desenvolvedor assim que uma pasta de projeto é aberta. Descoberta pela equipe de pesquisa da Oasis Security, a falha explora uma configuração padrão do Cursor que desativa o recurso ‘Workspace Trust’, semelhante ao do Visual Studio Code, mas que não solicita consentimento do usuário. Com isso, um invasor pode criar um repositório malicioso contendo um arquivo .vscode/tasks.json configurado para executar comandos automaticamente ao abrir a pasta comprometida. Isso pode resultar na instalação de backdoors, exfiltração de arquivos ou modificação de configurações do sistema, colocando em risco credenciais de alto privilégio armazenadas nas estações de trabalho dos desenvolvedores. A vulnerabilidade pode ser um ponto de partida para ataques em cadeia, comprometendo pipelines de CI/CD e infraestrutura em nuvem. A Cursor reconheceu o problema e planeja publicar orientações de segurança atualizadas, enquanto recomenda-se que equipes de desenvolvimento ativem manualmente o ‘Workspace Trust’ e evitem abrir repositórios não confiáveis em ambientes isolados.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza o software legítimo ConnectWise ScreenConnect para distribuir um loader que instala um trojan de acesso remoto (RAT) chamado AsyncRAT. O ataque começa com o uso do ScreenConnect para obter acesso remoto, seguido pela execução de um loader em VBScript e PowerShell que busca componentes ofuscados em URLs externas. Esses componentes incluem assemblies .NET codificados que se descompactam em AsyncRAT, mantendo persistência através de uma tarefa agendada disfarçada de ‘Skype Updater’.

Pesquisadores de cibersegurança revelaram duas campanhas de malvertising que distribuem extensões de navegador falsas para roubar dados sensíveis. A primeira campanha, identificada pela Bitdefender, promove uma extensão chamada SocialMetrics Pro, que promete desbloquear o selo de verificação azul no Facebook e Instagram. No entanto, essa extensão coleta cookies de sessão do Facebook e os envia para um bot no Telegram dos atacantes. Além disso, variantes da extensão utilizam esses cookies para acessar a API do Facebook Graph, potencialmente extraindo informações adicionais das contas.

A Apple apresentou uma nova tecnologia de segurança chamada Memory Integrity Enforcement (MIE) nos iPhones 17 e Air, que visa proteger a memória dos dispositivos contra ataques de spyware e outras ameaças críticas. Essa inovação é parte do design dos chips A19 e A19 Pro, permitindo que a proteção ocorra sem comprometer o desempenho do aparelho. O MIE é baseado em alocadores de memória seguros e na Extensão de Marcação de Memória Avançada (EMTE), que ajuda a bloquear acessos não autorizados à memória adjacente, evitando vulnerabilidades como o uso após liberação (use-after-free). Essa tecnologia é uma evolução da Extensão de Marcação de Memória (MTE) desenvolvida pela Arm em 2019, que já é utilizada em dispositivos Android e no Windows 11. A Apple busca, assim, fortalecer a segurança de seus dispositivos contra grupos maliciosos que utilizam spyware mercenários para invadir celulares. A implementação do MIE representa um avanço significativo na proteção dos dados dos usuários e na integridade dos sistemas operacionais dos novos iPhones.

O Sapphos, um aplicativo de relacionamento voltado exclusivamente para mulheres, foi retirado do ar após apenas 48 horas de funcionamento devido a uma grave falha de segurança. A vulnerabilidade, identificada por um usuário no Twitter, permitia o acesso não autorizado a dados pessoais das usuárias, incluindo CPF e data de nascimento. A falha, classificada como IDOR (Insecure Direct Object Reference), expôs identificadores diretos sem a devida verificação de permissão. As desenvolvedoras do aplicativo, que era operado por uma equipe feminina, admitiram o erro e garantiram que todos os dados das usuárias foram deletados, além de prometerem reembolsos para assinantes. O aplicativo, que chegou a ter 17 mil usuárias, estava em versão beta e não teve dados vazados, mas acessados indevidamente. As responsáveis abriram boletins de ocorrência e planejam desenvolver uma nova versão do aplicativo com segurança aprimorada.

O artigo da TechRadar destaca falhas de segurança alarmantes na Restaurant Brands International (RBI), controladora de marcas como Burger King, Tim Hortons e Popeyes. Dois hackers éticos, conhecidos como BobDaHacker e BobTheShoplifter, demonstraram como conseguiram acessar sistemas críticos da empresa com facilidade. Entre as descobertas, estavam senhas hard-coded em sites e credenciais fracas, como a senha ‘admin’ em sistemas de tablets de drive-thru. Essas falhas permitiram o acesso a contas de funcionários, configurações internas e até gravações de áudio de pedidos, que continham informações pessoais dos clientes. Apesar de a RBI ter corrigido as vulnerabilidades após ser informada, a falta de reconhecimento público aos hackers levanta questões sobre a aprendizagem e a implementação de melhores práticas de segurança. O artigo classifica a segurança da RBI como ‘catastrófica’, evidenciando a necessidade urgente de uma revisão nas políticas de cibersegurança da empresa, especialmente considerando o grande número de estabelecimentos que opera globalmente.

Uma campanha sofisticada de malware sem arquivo foi descoberta, utilizando o AsyncRAT, um poderoso Trojan de Acesso Remoto. Pesquisadores da LevelBlue detalharam a metodologia do ataque, que começa com um cliente ScreenConnect comprometido, um software legítimo de acesso remoto. Os atacantes estabelecem uma sessão interativa através de um domínio malicioso, executando um arquivo VBScript que aciona comandos PowerShell para baixar dois payloads externos.

Os payloads são carregados diretamente na memória, sem deixar vestígios em disco, utilizando técnicas de reflexão. A primeira etapa do malware, Obfuscator.dll, é responsável por inicialização, persistência e técnicas de evasão. A persistência é alcançada através de uma tarefa agendada disfarçada de “Skype Updater”. O segundo componente, AsyncClient.exe, implementa funcionalidades de comando e controle, realizando reconhecimento do sistema e coletando informações sensíveis, como dados de carteiras de criptomoedas. O uso de técnicas avançadas de evasão e a execução apenas em memória tornam o AsyncRAT uma ameaça significativa para a segurança cibernética, destacando a necessidade de soluções de segurança mais robustas.

Um grupo de ameaça persistente avançada (APT) da China foi responsabilizado pelo comprometimento de uma empresa militar nas Filipinas, utilizando um malware fileless inédito chamado EggStreme. Segundo a pesquisa da Bitdefender, o EggStreme é uma ferramenta multifásica que permite espionagem discreta, injetando código malicioso diretamente na memória e utilizando técnicas de DLL sideloading para executar cargas úteis. O componente central, EggStremeAgent, atua como um backdoor completo, permitindo reconhecimento extensivo do sistema, movimentação lateral e roubo de dados através de um keylogger.

Um novo ataque cibernético, denominado GhostAction, comprometeu mais de 3.300 chaves de acesso e credenciais no GitHub, conforme revelado pela empresa de segurança GitGuardian. O ataque, que começou a ser detectado em 2 de setembro de 2025, utiliza uma técnica que insere arquivos maliciosos no fluxo de trabalho do GitHub Actions, permitindo que os hackers leiam e enviem chaves de programação armazenadas em ambientes de projetos para servidores externos. Até o momento, foram identificados 817 repositórios afetados, abrangendo pacotes npm e PyPl, e comprometendo credenciais de serviços como AWS e Cloudflare. A GitGuardian notificou o GitHub e outras plataformas sobre a situação, e recomenda que os usuários afetados revoguem suas credenciais imediatamente para evitar a publicação de versões maliciosas de seus softwares. O ataque é semelhante a um incidente anterior, mas não há evidências de conexão entre eles. A situação destaca a vulnerabilidade da cadeia de abastecimento de software e a necessidade de vigilância constante por parte dos desenvolvedores e empresas que utilizam o GitHub.

A HackerOne confirmou que seu ambiente Salesforce foi comprometido após hackers explorarem uma vulnerabilidade no aplicativo Drift, fornecido pela Salesloft. O incidente foi inicialmente sinalizado pela Salesforce em 22 de agosto e confirmado pela Salesloft no dia seguinte, afetando um subconjunto de registros dentro do ambiente da HackerOne. A empresa assegurou que controles rigorosos de segmentação impediram a exposição de dados sensíveis de vulnerabilidades dos clientes. A equipe de segurança da HackerOne ativou imediatamente os protocolos de resposta a incidentes, colaborando com a Salesforce e a Salesloft para conter a intrusão e isolar a integração comprometida. A investigação preliminar revelou que os atacantes exploraram uma falha desconhecida no mecanismo de autenticação do Drift, permitindo o sequestro de sessões e acesso a dados adjacentes no CRM. Embora registros básicos de conta e informações de contato tenham sido expostos, dados críticos como códigos proprietários e relatórios de vulnerabilidade não foram afetados. A HackerOne está auditando todas as integrações existentes e implementou verificações adicionais para mitigar riscos futuros. Clientes afetados serão notificados diretamente, e um relatório detalhado do incidente será publicado após a conclusão da investigação.

Uma falha de segurança crítica foi identificada no ponto de acesso Bluetooth Amp’ed RF BT-AP 111, que expõe sua interface administrativa baseada em HTTP sem controles de autenticação. O dispositivo, que suporta até sete conexões Bluetooth simultâneas e oferece Universal Plug and Play (UPnP) em sua porta Ethernet, permite que qualquer dispositivo na mesma rede solicite o endpoint HTTP e visualize ou modifique configurações críticas. Essa vulnerabilidade, rastreada como CVE-2025-9994, permite que atacantes não autenticados alterem modos de emparelhamento Bluetooth, ajustem parâmetros de rede e até mesmo façam upload de firmware malicioso, comprometendo completamente o dispositivo. A ausência de autenticação contraria as diretrizes do NIST, que exigem controles de segurança para dispositivos Bluetooth. A situação é especialmente preocupante para organizações que utilizam o BT-AP 111 em ambientes mistos ou não confiáveis, pois isso pode permitir que atacantes estabeleçam pontos de acesso persistentes em redes corporativas. Até o momento, não há orientações de remediação ou atualizações de firmware disponíveis, e a recomendação é isolar os dispositivos em redes seguras e monitorar acessos HTTP.

Uma nova vulnerabilidade, identificada como CVE-2025-24132, foi revelada, permitindo que atacantes explorem os protocolos sem fio do Apple CarPlay para obter privilégios de root em sistemas multimídia de veículos. Apresentada na conferência DefCon, a falha é um estouro de buffer na SDK do AirPlay, destacando os riscos críticos que veículos conectados enfrentam e a necessidade urgente de uma implementação coordenada de patches na indústria automotiva. O ataque se aproveita do emparelhamento Bluetooth padrão ‘Just Works’, permitindo que um invasor se passe por um iPhone e solicite credenciais de Wi-Fi sem interação do usuário. Uma vez conectado, o atacante pode obter informações de configuração da rede e explorar a vulnerabilidade do AirPlay. Apesar de a Apple ter lançado versões corrigidas do SDK, a adoção dessas correções por montadoras é lenta, o que deixa milhões de veículos vulneráveis. A colaboração proativa entre fabricantes de equipamentos originais (OEMs) e fornecedores de software é essencial para mitigar esses riscos e garantir que todos os veículos com CarPlay recebam proteção em tempo hábil.

O GitLab lançou atualizações de patch (18.3.2, 18.2.6 e 18.1.6) para suas edições Community e Enterprise, abordando vulnerabilidades críticas que podem resultar em negação de serviço (DoS) e ataques de Server-Side Request Forgery (SSRF). As instalações autogeridas devem atualizar imediatamente, pois a versão do GitLab.com já está corrigida. A vulnerabilidade mais grave (CVE-2025-6454) permite que usuários autenticados injetem sequências maliciosas em cabeçalhos personalizados de Webhook, potencialmente desencadeando requisições internas indesejadas. Com um CVSS de 8.5, essa falha representa um risco significativo à confidencialidade e integridade dos dados. Além disso, duas falhas de DoS de alta severidade (CVE-2025-2256 e CVE-2025-1250) podem permitir que atacantes esgotem recursos do sistema. O GitLab recomenda que os administradores atualizem suas instalações sem demora, garantindo a segurança contra esses riscos. As versões afetadas vão da 7.8 até antes das versões de patch mencionadas, e a atualização é essencial para evitar a exploração dessas vulnerabilidades.

Desde a introdução da Lei de Segurança Online (OSA) no Reino Unido, em 2022, houve um aumento significativo no uso de VPNs e na busca por métodos alternativos para acessar conteúdo restrito. A OSA, que visa proteger crianças e adultos online, resultou em um aumento de 56% nas buscas por informações sobre VPNs e um impressionante aumento de 1.800% nos downloads do ProtonVPN. No entanto, a lei também gerou preocupações sobre privacidade, especialmente com a exigência de verificação de idade para sites pornográficos e a possibilidade de escaneamento de mensagens em aplicativos de mensagens antes da criptografia. Essa abordagem levanta questões sobre a segurança dos dados pessoais dos usuários e a eficácia das tecnologias de verificação. Além disso, a OSA pode levar a um aumento na busca por identidades falsas e acesso à dark web, o que representa um risco adicional. Embora a OSA não imponha uma censura total, suas implicações para a privacidade e a segurança online são significativas e podem servir como um alerta para outros países, incluindo o Brasil, sobre os desafios da regulamentação da internet.

A cidade de Viena, na Virgínia, anunciou que notificou 811 indivíduos sobre uma violação de dados ocorrida em agosto de 2025, que comprometeu informações sensíveis, incluindo nomes, números de Seguro Social, dados financeiros e números de passaporte. O grupo de ransomware Cephalus reivindicou a responsabilidade pelo ataque, embora as autoridades de Viena ainda não tenham confirmado essa alegação. A violação foi detectada em 14 de agosto, mas os invasores conseguiram acessar a rede da cidade em 11 de agosto, utilizando ransomware para criptografar partes do sistema. A notificação aos afetados não incluiu ofertas de monitoramento de crédito ou seguro contra fraudes, práticas comuns após incidentes que envolvem dados pessoais críticos. O Cephalus é um grupo novo que começou suas atividades em agosto de 2025, explorando conexões de desktop remoto (RDP) sem autenticação multifatorial. Até agora, foram registradas 56 violações confirmadas contra entidades governamentais dos EUA em 2025, destacando a crescente ameaça de ataques de ransomware. A situação em Viena ressalta a necessidade urgente de medidas de segurança robustas para proteger dados sensíveis, especialmente em um contexto onde ataques a governos estão se tornando mais frequentes.

A Apple anunciou uma nova funcionalidade de segurança chamada Memory Integrity Enforcement (MIE), incorporada nos modelos recém-lançados iPhone 17 e iPhone Air. Essa tecnologia oferece proteção contínua contra falhas de memória em áreas críticas, como o kernel e mais de 70 processos de usuário, sem comprometer o desempenho do dispositivo. O MIE é fundamentado em alocadores de memória seguros e na Enhanced Memory Tagging Extension (EMTE), que visa prevenir a exploração de vulnerabilidades por spyware mercenário. O EMTE, desenvolvido em colaboração com a Arm, é uma versão aprimorada da Memory Tagging Extension (MTE) e permite a detecção de exploração de corrupção de memória. O MIE protege contra classes comuns de vulnerabilidades, como buffer overflows e bugs de uso após liberação, bloqueando acessos indevidos a regiões de memória. A Apple também introduziu o Tag Confidentiality Enforcement (TCE) para proteger alocadores de memória contra ataques de canal lateral. Essa inovação representa um avanço significativo na segurança dos dispositivos da Apple, especialmente em um cenário onde a proteção contra spyware é cada vez mais crucial.

No dia 10 de setembro de 2025, a Microsoft lançou uma atualização de segurança que corrige 80 falhas em seu software, incluindo uma vulnerabilidade já conhecida publicamente. Dentre as 80 falhas, oito foram classificadas como Críticas e 72 como Importantes. Nenhuma das vulnerabilidades foi explorada como zero-day. A maioria das falhas (38) está relacionada a elevação de privilégios, seguida por execução remota de código (22), divulgação de informações (14) e negação de serviço (3). A vulnerabilidade mais crítica, CVE-2025-55234, com um CVSS de 8.8, refere-se a um problema de elevação de privilégios no SMB do Windows, que pode permitir ataques de relay. A Microsoft também destacou a importância de auditorias adicionais para garantir a compatibilidade do cliente SMB. Outras vulnerabilidades notáveis incluem CVE-2025-54914, uma falha crítica no Azure Networking, e CVE-2025-55232, que afeta o Microsoft HPC Pack. A atualização também aborda falhas no BitLocker, que podem permitir que atacantes contornem proteções de criptografia. A Microsoft recomenda medidas adicionais, como habilitar TPM+PIN para aumentar a segurança do BitLocker.

Pesquisadores de cibersegurança identificaram duas novas famílias de malware: CHILLYHELL, um backdoor modular para macOS, e ZynorRAT, um trojan de acesso remoto (RAT) baseado em Go que ataca sistemas Windows e Linux. O CHILLYHELL, atribuído ao grupo de hackers UNC4487, é projetado para arquiteturas Intel e foi descoberto em uma amostra enviada ao VirusTotal em maio de 2025. Este malware se destaca por suas múltiplas técnicas de persistência e pela capacidade de modificar timestamps para evitar detecções. Ele se comunica com servidores de comando e controle (C2) e pode executar uma variedade de comandos, incluindo a coleta de informações do sistema e ataques de força bruta. Por outro lado, o ZynorRAT utiliza um bot do Telegram para gerenciar máquinas infectadas, permitindo exfiltração de arquivos e execução de comandos arbitrários. Embora o ZynorRAT tenha sido submetido ao VirusTotal em julho de 2025, ele ainda está em desenvolvimento, especialmente na versão para Windows. Ambas as ameaças ressaltam a evolução das técnicas de malware, exigindo atenção redobrada de profissionais de segurança da informação.

O Centro de Inteligência de Ameaças S2W da Coreia do Sul revelou uma campanha sofisticada do grupo APT Kimsuky, apoiado pela Coreia do Norte, que utiliza repositórios do GitHub para hospedar e atualizar malware baseado em PowerShell. Os atacantes disfarçam arquivos LNK como faturas eletrônicas, criando backdoors persistentes e exfiltrando metadados sensíveis para repositórios controlados por eles. A intrusão começa com um arquivo ZIP contendo um atalho malicioso que, ao ser executado, baixa e executa um script PowerShell de um repositório privado no GitHub. Este script não apenas disfarça a atividade maliciosa, mas também coleta informações críticas do sistema, como endereço IP e versão do sistema operacional, enviando esses dados de volta para o repositório do atacante. A análise dos repositórios revelou a utilização de ferramentas de acesso remoto (RAT) e processos de monitoramento de área de transferência. Para mitigar essa ameaça, recomenda-se que equipes de segurança monitorem o tráfego da API do GitHub e implementem validações mais rigorosas de tokens do GitHub em scripts.

O grupo APT DarkSamurai, associado ao Patchwork, tem realizado uma campanha de ataques cibernéticos direcionados a instituições estratégicas no Paquistão. Utilizando arquivos MSC disfarçados como PDFs, os atacantes implantaram trojans de acesso remoto (RATs) para infiltrar redes e exfiltrar dados sensíveis. A operação começa com e-mails de spear-phishing que imitam entidades governamentais, levando as vítimas a abrir um arquivo malicioso que ativa um controle ActiveX. Este controle executa um script JScript que busca um payload JavaScript ofuscado, resultando na instalação de um RAT personalizado. O ataque é caracterizado por técnicas de evasão de detecção, como a polimorfia do script e o uso de tarefas agendadas para manter a persistência. A análise do payload final revelou um RAT chamado Mythic, que se comunica com um servidor de comando e controle usando criptografia AES-256-HMAC. A operação DarkSamurai é, na verdade, uma manobra de falsa bandeira para desviar a atenção das atividades do Patchwork, que tem um histórico de ataques a organizações militares e diplomáticas na Ásia do Sul. Este caso destaca a necessidade de uma investigação rigorosa e atribuição de ameaças para proteger infraestruturas críticas contra espionagem patrocinada por estados.

A empresa de cibersegurança Kroll revelou uma campanha de espionagem sofisticada utilizando um malware inédito chamado GONEPOSTAL, atribuído ao grupo de ameaças patrocinado pelo estado russo KTA007, conhecido como Fancy Bear ou APT28. Este malware inova ao usar a funcionalidade de e-mail do Microsoft Outlook como um canal oculto para comunicações de comando e controle (C2).

A arquitetura do GONEPOSTAL é composta por um dropper DLL malicioso e um arquivo VbaProject.OTM protegido por senha, que contém macros do Outlook. O ataque inicia com a execução de um DLL malicioso que se disfarça como uma biblioteca legítima da Microsoft, redirecionando funções para garantir a funcionalidade normal do aplicativo enquanto executa código malicioso.

Um novo ataque de phishing tem utilizado a plataforma AppSheet do Google para roubar credenciais de usuários. Os hackers registram contas no AppSheet e enviam notificações automatizadas que imitam alertas legítimos de sistemas, utilizando e-mails que parecem autênticos e que passam por verificações de segurança como SPF, DKIM e DMARC. Os e-mails contêm links encurtados que redirecionam as vítimas para uma cópia falsa do portal de login do Google Workspace. Uma vez que as credenciais são inseridas, elas são imediatamente coletadas pelos atacantes. Em março de 2025, 10,88% dos e-mails de phishing globalmente utilizaram a infraestrutura do AppSheet. As defesas tradicionais falham em detectar esses ataques, pois confiam na reputação da infraestrutura do Google. Para mitigar esses riscos, é necessário implementar análises contextuais que possam identificar discrepâncias entre o remetente e o conteúdo da mensagem, além de políticas dinâmicas que monitorem interações típicas entre serviços e usuários.

O Salty2FA é um novo kit de phishing que tem se destacado por sua capacidade de contornar métodos de autenticação de dois fatores (2FA), colocando em risco diversas indústrias, especialmente nos setores financeiro, energético e de telecomunicações. Identificado em campanhas nos EUA e na Europa, o kit utiliza uma cadeia de execução em múltiplas etapas e infraestrutura evasiva para interceptar credenciais e códigos 2FA. A análise de um caso real revelou que um funcionário recebeu um e-mail disfarçado de solicitação de correção de pagamento, levando-o a uma página de login falsa da Microsoft. A partir daí, as credenciais foram roubadas e, se a conta tivesse 2FA, o kit poderia interceptar os códigos de verificação. Para mitigar os riscos associados ao Salty2FA, as equipes de segurança devem focar na detecção de comportamentos, realizar análises em sandbox e reforçar políticas de autenticação multifatorial, priorizando tokens de aplicativo ou hardware em vez de SMS. A adoção de sandboxes interativas, como o ANY.RUN, pode aumentar a eficiência das operações de segurança, permitindo investigações mais rápidas e precisas.

Os provedores de serviços gerenciados (MSPs) e provedores de serviços de segurança gerenciados (MSSPs) enfrentam uma crescente pressão para oferecer resultados robustos em cibersegurança, em um cenário de ameaças em ascensão e requisitos de conformidade em evolução. Os clientes buscam proteção eficaz sem a necessidade de gerenciar a cibersegurança por conta própria, o que exige que os provedores equilibrem essas demandas crescentes com a eficiência operacional. Muitas vezes, esses provedores ainda dependem de processos manuais que dificultam a consistência e a escalabilidade dos serviços. A automação surge como uma solução viável, permitindo a otimização de tarefas repetitivas e a melhoria da eficiência. O artigo destaca que a automação pode reduzir em até 70% o tempo gasto em tarefas como avaliações de risco, desenvolvimento de políticas e relatórios de progresso. Além disso, apresenta um guia prático para a implementação da automação, que inclui a avaliação de processos atuais, definição de metas, seleção de modelos de implantação e treinamento das equipes. A automação não apenas melhora a eficiência, mas também permite que os provedores entreguem serviços de alta qualidade de forma consistente, aumentando a satisfação do cliente e a capacidade de crescimento.

O Comitê Selecionado da Câmara dos EUA sobre a China emitiu um alerta sobre uma série de campanhas de espionagem cibernética altamente direcionadas, supostamente ligadas à República Popular da China (RPC), em meio a negociações comerciais tensas entre os EUA e a China. As campanhas têm como alvo organizações e indivíduos envolvidos na política comercial e diplomática entre os dois países, incluindo agências governamentais dos EUA, empresas, escritórios de advocacia em Washington e grupos de reflexão. Os atacantes, identificados como APT41, usaram e-mails de phishing se passando pelo congressista republicano John Robert Moolenaar para enganar os destinatários e obter acesso não autorizado a sistemas e informações sensíveis. O objetivo final era roubar dados valiosos, utilizando serviços de software e nuvem para ocultar suas atividades. O ataque mais recente envolveu um e-mail que continha um anexo malicioso que, ao ser aberto, implantava malware para coletar dados sensíveis. O comitê acredita que essas ações são parte de uma operação de espionagem cibernética apoiada pelo estado chinês, visando influenciar as deliberações políticas dos EUA e obter vantagens nas negociações comerciais.

A Adobe emitiu um alerta sobre uma vulnerabilidade crítica, identificada como CVE-2025-54236, que afeta suas plataformas Adobe Commerce e Magento Open Source. Com uma pontuação CVSS de 9.1, a falha é classificada como um problema de validação inadequada de entrada, permitindo que atacantes possam assumir o controle de contas de clientes através da API REST do Commerce. A vulnerabilidade impacta diversas versões do Adobe Commerce e Magento, incluindo versões anteriores a 2.4.9-alpha2 e 2.4.8-p2, entre outras. Embora a Adobe não tenha conhecimento de explorações ativas, a empresa lançou um hotfix e implementou regras de firewall de aplicação web (WAF) para proteger os ambientes contra tentativas de exploração. A empresa de segurança Sansec comparou essa vulnerabilidade a outras falhas significativas na história do Magento, como o Shoplift e o CosmicSting. Além disso, a Adobe também corrigiu uma vulnerabilidade crítica no ColdFusion, que poderia permitir gravações arbitrárias no sistema de arquivos. É essencial que os comerciantes que utilizam essas plataformas tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

Um novo ataque de phishing foi identificado, utilizando convites do Calendário iCloud da Apple para enganar usuários. Os criminosos enviam e-mails maliciosos disfarçados como notificações de compra, utilizando o endereço noreply@email.apple.com, que é legítimo, para evitar filtros de spam. O golpe alerta sobre um pagamento de US$ 599, levando as vítimas a acreditarem que foram vítimas de uma fraude. Ao ligarem para os números fornecidos, os usuários são convencidos a instalar softwares que permitem o acesso remoto aos seus computadores, possibilitando o roubo de dados pessoais e financeiros. O ataque é tecnicamente simples, mas eficaz, pois utiliza ferramentas autênticas para ganhar credibilidade. Especialistas recomendam cautela ao receber convites inesperados e a verificação da procedência antes de qualquer ação.

O Departamento do Tesouro dos EUA, através do Escritório de Controle de Ativos Estrangeiros (OFAC), impôs sanções a uma vasta rede de centros de golpes cibernéticos no Sudeste Asiático, que têm fraudado cidadãos americanos em bilhões de dólares. A ação, anunciada pelo Subsecretário John K. Hurley, designou 19 entidades e indivíduos em Mianmar e Camboja, congelando ativos nos EUA e proibindo transações com as partes bloqueadas. Entre os alvos estão operadores em Shwe Kokko, um conhecido centro de fraudes cibernéticas, que opera sob a proteção do Exército Nacional Karen (KNA). Os golpistas utilizam táticas de coerção, como trabalho forçado e abuso físico, para executar fraudes relacionadas a investimentos em criptomoedas. Em Camboja, antigos cassinos foram transformados em centros de golpes, onde trabalhadores traficados realizam fraudes online. Com perdas superiores a 10 bilhões de dólares para os americanos em 2024, um aumento de 66% em relação ao ano anterior, as sanções visam desmantelar as estruturas financeiras que sustentam esses crimes. A partir de agora, pessoas e entidades nos EUA devem bloquear todas as transações com as partes designadas, sob pena de sanções civis e criminais.

Pesquisadores de segurança da ThreatFabric MTI descobriram um novo trojan bancário para Android, chamado RatOn, que combina táticas clássicas de sobreposição e relé NFC com acesso remoto completo e capacidades de Sistema de Transferência Automatizada (ATS). Emergiu em 5 de julho de 2025 e evoluiu até 29 de agosto de 2025, representando a primeira integração conhecida de ataques de relé NFC em um framework de Trojan de Acesso Remoto.

O ataque começa quando as vítimas baixam um APK malicioso disfarçado de instalador de aplicativos de sites adultos da República Tcheca e da Eslováquia. Após a instalação, o trojan solicita permissões de Acessibilidade e Administrador do Dispositivo, permitindo que opere em segundo plano. RatOn monitora continuamente o estado do dispositivo, enviando capturas de tela e descrições textuais dos elementos da interface do usuário para seu servidor de controle.

Uma análise de segurança revelou que câmeras corporais utilizadas por forças policiais nos EUA estão transmitindo metadados sensíveis para servidores na China, utilizando a porta TLS 9091, uma prática incomum que levanta preocupações sobre a integridade das evidências digitais. A transferência ocorre através do aplicativo Viidure, que permite o envio direto de vídeos gravados. A análise de pacotes identificou três pontos finais TLS, sendo um deles associado à rede da Huawei. A falta de validação de certificados no aplicativo expõe informações críticas, como identificadores de dispositivos e credenciais de usuários, comprometendo a anonimidade dos oficiais e a cadeia de custódia das evidências. Para mitigar essas vulnerabilidades, recomenda-se a implementação de autenticação mútua TLS e a realocação da infraestrutura em nuvem para jurisdições confiáveis. A situação destaca a necessidade urgente de reforçar a segurança cibernética nas operações policiais, especialmente em um cenário onde a integridade das evidências é crucial para processos judiciais.

Pesquisadores de cibersegurança da CYFIRMA identificaram um infostealer sofisticado, denominado Salat Stealer (ou WEB_RAT), que opera com uma infraestrutura avançada de comando e controle (C2) para extrair dados sensíveis de sistemas Windows. Este malware é especialmente eficaz na exfiltração de credenciais de navegadores, informações de carteiras de criptomoedas e dados de sessão, utilizando diversas técnicas de evasão para evitar a detecção. O arquivo analisado, com 3,14 MB, apresenta um alto valor de entropia, indicando forte ofuscação. Ao ser executado, o Salat Stealer implementa mecanismos de persistência, como entradas no registro e tarefas agendadas com nomes enganosos, para se disfarçar como processos legítimos do sistema.

Com a chegada da temporada orçamentária, a cibersegurança frequentemente enfrenta questionamentos e despriorização nas empresas. Um estudo da Gartner revela que 88% dos conselhos administrativos veem a cibersegurança como um risco de negócios, não apenas uma questão de TI. Para que os líderes de segurança consigam elevar o perfil da cibersegurança, é crucial que comuniquem sua importância em termos de continuidade de negócios, conformidade e impacto financeiro. Estratégias como alinhar a segurança com os objetivos empresariais, construir um framework focado em riscos e utilizar padrões da indústria são essenciais. Além disso, a validação contínua da segurança, através de testes automatizados, ajuda a identificar vulnerabilidades antes que se tornem problemas. A comunicação clara e adaptada para diferentes públicos dentro da organização é fundamental para demonstrar como as decisões de segurança impactam diretamente a receita e a reputação da empresa. Em um cenário de ameaças cibernéticas em constante evolução, a cibersegurança deve ser vista como um facilitador de negócios, e não apenas como um centro de custo.

Uma nova campanha de cibersegurança identificada pela Darktrace revela um sofisticado malware de criptomineração que utiliza o mapa de caracteres do Windows para se infiltrar em sistemas. Conhecido como cryptojacking, esse tipo de ataque utiliza o poder de processamento dos computadores para minerar criptomoedas em benefício dos hackers. A análise foi conduzida pelas especialistas Keanna Grelicha e Tara Gould, que detectaram um comportamento anômalo em um cliente, indicando a presença de um novo agente PowerShell. O malware, denominado NBMiner, foi introduzido através de um loader Autolt ofuscado, que se disfarça sob camadas de código para evitar a detecção. O ataque se inicia com a execução do programa ‘charmap.exe’, que verifica se ferramentas de segurança estão ativas antes de se conectar a um pool de mineração. Embora inicialmente cause aumento no consumo de energia e lentidão do sistema, o cryptojacking pode levar a problemas mais sérios, como roubo de dados pessoais. A Darktrace conseguiu mitigar a ameaça ao bloquear a conexão do dispositivo infectado com os servidores dos hackers, destacando a importância de medidas de segurança eficazes.

No dia 20 de agosto, em Shoreditch, Londres, a Surfshark realizou uma ação de marketing inusitada para promover o uso de VPNs. O artista de rua KingMurals criou um mural ao vivo, destacando a importância das VPNs de forma divertida e acessível. O mural continha a palavra ‘VPN’ repetida 23 vezes, acompanhada de mensagens absurdas que enfatizavam que, independentemente de suas funções, o importante é que uma VPN faça seu trabalho. A campanha visa desmistificar o uso de VPNs, que muitas vezes é cercado por jargões técnicos, tornando a decisão de proteger a identidade digital mais simples e direta. Regimantas Urbanas, CMO da Surfshark, destacou que a simplicidade é uma prioridade para os consumidores, que buscam aplicativos intuitivos e informações claras. A ação também reflete um aumento no uso de VPNs, impulsionado por novas regulamentações de verificação de idade no Reino Unido e uma crescente conscientização sobre privacidade digital. A Surfshark acredita que não usar uma VPN está se tornando uma opção inviável, reforçando a ideia de que as VPNs são essenciais no cotidiano.

A Zoom Video Communications anunciou uma atualização de segurança que corrige várias falhas em seu software, incluindo o Zoom Workplace e clientes para Windows e macOS. A atualização aborda uma vulnerabilidade crítica de ‘Autorização Ausente’ (CVE-2025-49459) que pode permitir que atacantes realizem ações sem a devida permissão, comprometendo dados sensíveis e a integridade do sistema. Além disso, foram corrigidas diversas vulnerabilidades de severidade média, como problemas de autorização e injeção de argumentos, que podem permitir que usuários excedam níveis de acesso permitidos. A empresa recomenda fortemente que os usuários instalem a versão mais recente imediatamente para se proteger contra possíveis explorações. A atualização é especialmente urgente, considerando que a Zoom já havia corrigido uma falha crítica no mês anterior. A recorrência de vulnerabilidades de alto impacto destaca os riscos de manter software desatualizado, que pode deixar tanto usuários individuais quanto ambientes corporativos vulneráveis a ataques, como exfiltração de dados e compromissos totais do sistema.

Uma vulnerabilidade crítica, identificada como SessionReaper (CVE-2025-54236), foi descoberta no Magento, levando a Adobe a interromper seu ciclo regular de atualizações para lançar um patch de emergência. Essa falha é considerada uma das mais severas na história do Magento, comparável a incidentes anteriores como Shoplift e TrojanOrder. A vulnerabilidade permite que atacantes, com acesso autenticado, manipulem configurações administrativas e injetem códigos maliciosos através da API do Magento. A exploração dessa falha pode ocorrer rapidamente, uma vez que ferramentas automatizadas de escaneamento devem ser utilizadas para identificar instâncias não corrigidas logo após a publicação do patch. A Adobe notificou seus clientes do Commerce Cloud em 4 de setembro, mas os usuários de Magento open source só foram informados em 9 de setembro, levantando preocupações sobre a transparência na distribuição de atualizações de segurança. Para mitigar os riscos, os comerciantes devem aplicar o patch imediatamente, revisar credenciais de administrador e implementar autenticação multifatorial. O cenário destaca a necessidade urgente de vigilância e defesa em camadas para proteger as lojas Magento contra essa vulnerabilidade crítica.

O Distrito Escolar do Condado de Cherokee (CCSD) notificou 46.119 pessoas sobre uma violação de dados resultante de um ataque cibernético ocorrido em março de 2025. Os dados comprometidos incluem números de Seguro Social, números de carteira de motorista, números de passaporte, informações financeiras e dados de saúde. Este ataque, reivindicado pelo grupo de ransomware Interlock, é considerado a maior violação de dados no setor educacional dos EUA até o momento neste ano. O ataque, que ocorreu em 15 de março, causou interrupções significativas na rede do distrito por cerca de duas semanas. A Interlock afirmou ter roubado 624 GB de dados, incluindo documentos fiscais e informações de funcionários. Em resposta, o CCSD se comprometeu a oferecer serviços de monitoramento de crédito gratuitos aos afetados e afirmou que está trabalhando com autoridades e especialistas em segurança para mitigar os danos. Até agora, 30 ataques confirmados foram registrados no setor educacional dos EUA em 2025, com mais de 115.000 registros comprometidos. O CCSD, que atende cerca de 8.000 alunos, está avaliando os registros afetados e se comunicará diretamente com os impactados.

A Cornwell Quality Tools notificou 103.782 pessoas sobre uma violação de dados ocorrida em dezembro de 2024, que comprometeu números de Seguro Social, informações médicas e dados financeiros. O grupo de ransomware Cactus assumiu a responsabilidade pelo ataque em fevereiro de 2025, alegando ter roubado 4,6 TB de dados, incluindo documentos sensíveis como cópias de carteiras de motorista e declarações fiscais. A empresa não confirmou se pagou um resgate ou como a violação ocorreu, mas informou que tomou medidas imediatas para proteger seus sistemas após detectar atividades incomuns em sua rede. Além disso, a Cornwell está oferecendo monitoramento de crédito gratuito por 12 meses e um seguro contra fraudes de identidade para as vítimas. Este não é o primeiro ataque de ransomware enfrentado pela empresa, que já havia notificado anteriormente sobre uma violação em setembro de 2022. O grupo Cactus, que começou a operar em abril de 2023, é conhecido por seu modelo de ransomware como serviço, visando principalmente fabricantes. Em 2024, foram registrados 86 ataques confirmados a fabricantes nos EUA, com a violação da Cornwell sendo a maior em termos de registros comprometidos.

Pesquisadores de cibersegurança revelaram uma campanha de phishing que utiliza um malware bancário transformado em um trojan de acesso remoto chamado MostereRAT. Este ataque emprega técnicas sofisticadas de evasão para assumir o controle total de sistemas comprometidos, roubar dados sensíveis e estender suas funcionalidades por meio de plugins secundários. O malware é desenvolvido em uma linguagem de programação visual chamada Easy Programming Language (EPL), que facilita o uso por pessoas que não dominam o inglês. Os e-mails, direcionados principalmente a usuários japoneses, enganam as vítimas com iscas relacionadas a consultas comerciais, levando-as a baixar um documento malicioso. Uma vez instalado, o MostereRAT pode desativar mecanismos de segurança do Windows, bloquear tráfego de rede de programas de segurança e executar uma variedade de comandos, como capturar teclas e tirar screenshots. Além disso, a pesquisa também destaca uma nova campanha que utiliza técnicas semelhantes para distribuir um ladrão de informações chamado MetaStealer. Essas ameaças representam um risco significativo, especialmente devido à sua capacidade de contornar soluções de segurança e à necessidade de interação manual das vítimas, o que dificulta a detecção e prevenção. A educação dos usuários sobre engenharia social continua sendo crucial para mitigar esses riscos.