Cibersegurança

A Microsoft anunciou a implementação de uma nova funcionalidade no Teams, chamada “Reportar uma Chamada”, que permitirá aos usuários sinalizar chamadas suspeitas ou indesejadas como potenciais fraudes ou tentativas de phishing. Este recurso será ativado por padrão e estará disponível para chamadas individuais no Windows, Mac e na versão web do Teams. Ao clicar em “Mais opções” ao lado de uma chamada, os usuários poderão selecionar “Reportar uma Chamada” para enviar um relatório. A Microsoft destacou que, atualmente, os usuários não têm uma maneira simples de relatar chamadas suspeitas, o que deixa as organizações sem visibilidade sobre essas ameaças. Quando uma chamada é sinalizada, metadados limitados, como horários, duração e informações de identificação do chamador, serão compartilhados com a organização e com a Microsoft. A funcionalidade começará a ser disponibilizada para clientes de Lançamento Direcionado em meados de março, com conclusão prevista para o final de março, e estará disponível globalmente até o final de abril. Além disso, a Microsoft já havia introduzido outras funcionalidades de segurança no Teams, como a possibilidade de relatar alertas de ameaças falsos positivos e bloquear usuários externos, visando aumentar a proteção contra ataques de engenharia social.

A botnet Aisuru/Kimwolf lançou um ataque DDoS massivo que atingiu picos de 31,4 Tbps e 200 milhões de requisições por segundo, estabelecendo um novo recorde. O ataque, que ocorreu em 19 de dezembro de 2025, visou principalmente empresas do setor de telecomunicações e foi detectado e mitigado pela Cloudflare. Aisuru já era responsável pelo recorde anterior de 29,7 Tbps. A campanha, chamada de ‘A Noite Antes do Natal’, foi caracterizada como um ‘bombardeio sem precedentes’ e incluiu ataques HTTP DDoS hipervolumétricos e ataques de camada 4. A maioria dos ataques durou entre um e dois minutos, com 90% deles atingindo picos entre 1-5 Tbps. A origem dos ataques foi atribuída a dispositivos Android TV, além de dispositivos IoT e roteadores comprometidos. O relatório da Cloudflare também revelou um aumento de 121% nos ataques DDoS em 2025, com 47,1 milhões de incidentes registrados, destacando a crescente ameaça que esses ataques representam para empresas em todo o mundo.

O artigo destaca a importância da inteligência de ameaças na cibersegurança, especialmente para Chief Information Security Officers (CISOs). Em 2026, as empresas enfrentam riscos operacionais significativos devido a ciberataques, que vão além dos danos diretos. Para mitigar esses riscos, o texto sugere três passos estratégicos. Primeiro, é essencial focar nas ameaças reais que afetam o negócio atualmente, utilizando feeds de inteligência de ameaças atualizados e relevantes, como os oferecidos pela ANY.RUN, que permitem uma detecção precoce de ameaças e minimizam o risco de incidentes. Em segundo lugar, é crucial proteger os analistas de falsos positivos, que podem levar ao burnout e à ineficiência. A utilização de feeds com baixa taxa de falsos positivos melhora a produtividade da equipe de segurança. Por fim, o artigo enfatiza a necessidade de encurtar o tempo entre a detecção e a resposta a incidentes, utilizando informações contextuais que aceleram as investigações. Ao priorizar a inteligência de ameaças acionável, as empresas podem reduzir o tempo de resposta e melhorar a continuidade operacional.

Um estudo da OMICRON identificou lacunas significativas na cibersegurança das redes de tecnologia operacional (OT) em subestações, usinas e centros de controle ao redor do mundo. A análise, baseada em dados de mais de 100 instalações, destacou problemas técnicos, organizacionais e funcionais que tornam a infraestrutura energética vulnerável a ameaças cibernéticas. As avaliações, realizadas com o sistema de detecção de intrusões StationGuard, revelaram vulnerabilidades como dispositivos desatualizados, conexões externas inseguras e segmentação de rede fraca. Além disso, questões organizacionais, como responsabilidades pouco claras e falta de recursos, foram apontadas como fatores que aumentam os riscos. O estudo enfatiza a necessidade urgente de soluções de segurança robustas e adaptadas às particularidades dos ambientes de OT, especialmente em um cenário onde as redes de TI e OT estão se convergindo rapidamente. A implementação de sistemas de detecção de intrusões é crucial, pois muitos dispositivos operam sem sistemas operacionais padrão, tornando a detecção em nível de rede a única opção viável.

As atualizações desta semana em cibersegurança destacam como pequenas mudanças podem gerar grandes problemas, especialmente em sistemas que as pessoas utilizam diariamente. O FBI anunciou a apreensão do fórum de cibercrime RAMP, que se tornou um ponto de encontro para atividades ilícitas após a proibição de operações de ransomware em outros fóruns. A administração do RAMP reconheceu que a apreensão comprometeu anos de trabalho, enquanto grupos criminosos já estão migrando para novas plataformas, como Rehub, o que pode aumentar os riscos de reputação e segurança.

No final de dezembro, um ataque coordenado à rede elétrica da Polônia comprometeu múltiplos locais de recursos energéticos distribuídos (DER), incluindo instalações de cogeração e sistemas de energia solar e eólica. Apesar de danificar equipamentos operacionais de forma irreparável, o ataque não resultou em interrupções no fornecimento de energia, afetando apenas 5% da capacidade total do país. Pesquisadores da Dragos, empresa especializada em segurança de infraestrutura industrial, identificaram pelo menos 12 locais afetados, embora estimem que o número real seja próximo de 30. O ataque, atribuído com confiança moderada a um ator de ameaça russo conhecido como Electrum, destacou a vulnerabilidade dos sistemas de energia descentralizados, especialmente em períodos críticos como o inverno. Os atacantes demonstraram profundo conhecimento técnico, comprometendo equipamentos de comunicação e sistemas de controle, mas não conseguiram causar um apagão nacional. No entanto, a possibilidade de desestabilização da frequência do sistema permanece, o que poderia levar a falhas em cascata, como já ocorreu em outros incidentes. Este evento serve como um alerta sobre a segurança das infraestruturas críticas em um contexto global cada vez mais ameaçado.

O grupo de cibercriminosos conhecido como TA584 tem intensificado suas operações, utilizando o malware Tsundere Bot em conjunto com o trojan de acesso remoto XWorm para obter acesso a redes, potencialmente levando a ataques de ransomware. Desde 2020, pesquisadores da Proofpoint monitoram as atividades do TA584, que recentemente triplicou o volume de suas campanhas, expandindo seu foco além da América do Norte e Reino Unido para incluir países europeus e Austrália. O Tsundere Bot, documentado pela Kaspersky, é uma plataforma de malware como serviço que permite coleta de informações, exfiltração de dados e movimentação lateral na rede. O ataque começa com e-mails enviados de contas comprometidas, que direcionam os alvos a páginas CAPTCHA e ClickFix, onde são instruídos a executar um comando PowerShell que carrega o malware. O Tsundere Bot se comunica com servidores de comando e controle via WebSockets e possui mecanismos para evitar execução em sistemas de países da CEI. A expectativa é que o TA584 continue a diversificar seus alvos e métodos, aumentando a preocupação com a segurança cibernética em diversas regiões.

Na última quinta-feira (22), o Departamento Estadual de Investigações Criminais (Deic) de São Paulo desmantelou uma central de cobranças fraudulentas localizada na Avenida Brigadeiro Faria Lima, um dos principais centros financeiros da capital paulista. A operação resultou na prisão de quatro mulheres, que ocupavam cargos de gerência e supervisão, além de outros dez suspeitos que foram levados para depor. A investigação revelou que o grupo utilizava dados de vítimas, especialmente idosos e pessoas vulneráveis, para realizar cobranças de créditos inexistentes, ameaçando-as com bloqueios de CPF e benefícios. Os criminosos operavam de forma híbrida, realizando tanto cobranças legítimas quanto fraudulentas. Documentos e dispositivos eletrônicos foram apreendidos durante a operação, que também se estendeu a um segundo local em Carapicuíba, na Grande São Paulo. Essa ação faz parte da Operação Título Sombrio, focada em investigações sobre lavagem e ocultação de ativos ilícitos por meios eletrônicos.

O Banco do Nordeste (BNB) anunciou a suspensão temporária das transações via Pix após detectar um ataque hacker em seus sistemas na noite de segunda-feira, 26 de janeiro de 2026. A violação afetou a infraestrutura do sistema de pagamento instantâneo, levando a instituição a acionar protocolos de segurança imediatamente. Em comunicado, o BNB afirmou que está em contato com o Banco Central para avaliar a extensão do incidente e restaurar as operações de forma segura. A suspensão do Pix foi uma medida preventiva para garantir a segurança das transações e evitar possíveis desdobramentos maliciosos. Importante destacar que, até o momento, não foram identificados vazamentos de dados dos clientes ou prejuízos nas contas. O Banco do Nordeste reafirmou seu compromisso com a segurança da informação e a transparência, prometendo manter o mercado informado sobre quaisquer desdobramentos relacionados ao incidente.

Pesquisadores da Doctor Web identificaram uma nova ameaça de malware chamada Phantom, que afeta dispositivos Android através de jogos e aplicativos modificados. O malware, que se disfarça como aplicativos legítimos, transforma os celulares em ferramentas de fraude publicitária, clicando em anúncios sem o consentimento do usuário. Os primeiros sinais de infecção surgiram em setembro de 2025, quando jogos populares como ‘Creation Magic World’ e ‘Cute Pet House’ começaram a apresentar comportamentos suspeitos. O Phantom opera em dois modos: um que utiliza um navegador oculto para interagir com anúncios e outro que permite acesso remoto à tela do dispositivo infectado. Essa invasão é difícil de detectar, pois os aplicativos continuam funcionando normalmente. A Doctor Web alerta que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção, recomendando cautela ao baixar APKs de fontes não confiáveis.

Uma vulnerabilidade crítica de dia zero no Microsoft Office foi identificada e corrigida pela Microsoft após ser explorada para a distribuição de malware. Essa falha, que se baseava na “dependência de entradas não confiáveis”, permitiu que cibercriminosos acessassem dados sensíveis, como credenciais de login e senhas dos usuários. A Microsoft não divulgou detalhes sobre os responsáveis pelos ataques ou a extensão dos sistemas afetados, mas confirmou que a exploração da falha estava focada no Microsoft 365 e no Office. A correção foi implementada para proteger os usuários contra controles vulneráveis, e os usuários do Office 2021 e versões posteriores precisam reiniciar seus aplicativos para aplicar a atualização. Já os usuários do Office 2016 e 2019 devem instalar manualmente as atualizações específicas fornecidas pela Microsoft. Essa situação destaca a importância de manter os softwares atualizados para evitar riscos de segurança.

O WinRAR, um popular programa de compactação de arquivos, está enfrentando uma vulnerabilidade crítica, identificada como CVE-2025-8088, que permite a execução de código arbitrário em sistemas comprometidos. Essa falha, classificada com um índice de severidade de 8.4/10, afeta as versões 7.12 e anteriores do software. Pesquisadores de segurança alertam que grupos de hackers, incluindo organizações patrocinadas por estados, estão explorando essa vulnerabilidade para implantar malware em dispositivos-alvo. O uso de Streams de Dados Alternativos (ADS) no WinRAR permite que os atacantes escondam cargas maliciosas em arquivos aparentemente inofensivos, como documentos PDF. Quando o usuário abre o arquivo, o malware é extraído e executado. Entre os grupos que têm utilizado essa falha estão o RomCom, alinhado à Rússia, e diversos atores patrocinados pela China. Para mitigar os riscos, é recomendado que os usuários atualizem para a versão 7.13 ou superior do WinRAR, já que a atualização não requer desinstalação do programa anterior.

Pesquisadores da CheckPoint alertam sobre uma nova técnica de hackers que utilizam o Microsoft Teams para roubar credenciais de e-mail. A estratégia envolve a criação de equipes com nomes relacionados a finanças ou cobranças urgentes, utilizando caracteres ofuscados para evitar a detecção automática. Após a criação da equipe, os atacantes enviam convites que parecem legítimos, levando os usuários a acreditar que precisam resolver problemas de cobrança. Durante chamadas para um número de suporte fraudulento, os hackers tentam extrair informações sensíveis, como senhas. Essa abordagem de engenharia social é mais eficaz do que métodos tradicionais de phishing, pois combina mensagens oficiais da Microsoft com uma linguagem que gera urgência e confiança. O ataque tem afetado organizações em diversos setores, com a maioria dos incidentes ocorrendo nos Estados Unidos, seguido pela Europa e América Latina, onde Brasil e México concentram a maior parte das ocorrências. A conscientização dos usuários e o treinamento para identificar sinais de alerta são essenciais para mitigar esses riscos.

A MicroWorld Technologies, fabricante do antivírus eScan, confirmou que um de seus servidores de atualização foi comprometido, resultando na distribuição de um arquivo malicioso para um pequeno grupo de clientes em 20 de janeiro de 2026. O ataque ocorreu durante uma janela de duas horas, afetando apenas aqueles que baixaram atualizações de um cluster regional específico. A empresa isolou e reconstruiu a infraestrutura afetada, rotacionou credenciais de autenticação e disponibilizou remediações para os clientes impactados. A empresa de segurança Morphisec publicou um relatório técnico associando a atividade maliciosa observada em endpoints de clientes às atualizações entregues durante o mesmo período. O arquivo malicioso, uma versão modificada do componente de atualização ‘Reload.exe’, foi assinado com um certificado de assinatura de código do eScan, mas a assinatura foi considerada inválida. O malware implantado permitiu a persistência, execução de comandos e modificação do arquivo HOSTS do Windows, impedindo atualizações remotas. A MicroWorld Technologies enfatizou que o incidente não envolveu uma vulnerabilidade no produto eScan em si, e que apenas os clientes que atualizaram a partir do cluster afetado foram impactados. A empresa recomenda que os clientes bloqueiem os servidores de comando e controle identificados para aumentar a segurança.

Um ataque cibernético coordenado atingiu múltiplos locais da rede elétrica da Polônia, sendo atribuído com média confiança ao grupo de hackers patrocinado pelo Estado russo, conhecido como ELECTRUM. Segundo a empresa de cibersegurança Dragos, o ataque, ocorrido em dezembro de 2025, é considerado o primeiro grande ataque direcionado a recursos energéticos distribuídos (DERs). Embora não tenha causado apagões, os invasores conseguiram acessar sistemas críticos de tecnologia operacional (OT) e desativar equipamentos essenciais de forma irreparável. O ataque visou as instalações de cogeração de calor e energia (CHP) e sistemas que gerenciam a distribuição de energia renovável, como eólica e solar. Os hackers utilizaram dispositivos de rede expostos e exploraram vulnerabilidades para obter acesso inicial, demonstrando um profundo entendimento da infraestrutura da rede elétrica. O ataque foi descrito como oportunista e apressado, permitindo que os invasores causassem danos significativos, como a formatação de dispositivos Windows e a redefinição de configurações. Este incidente destaca a crescente ameaça de adversários com capacidades específicas em OT, que estão ativamente mirando sistemas que monitoram e controlam a geração distribuída de energia.

Pesquisadores de cibersegurança alertaram sobre uma nova extensão maliciosa do Microsoft Visual Studio Code (VS Code) chamada “ClawdBot Agent - AI Coding Assistant”. Publicada em 27 de janeiro de 2026, a extensão se disfarça como um assistente de codificação baseado em inteligência artificial, mas na verdade instala um payload malicioso nos sistemas dos usuários. A extensão foi rapidamente removida pela Microsoft após a identificação do problema.

O malware, vinculado ao projeto Moltbot, permite que atacantes obtenham acesso remoto persistente aos dispositivos comprometidos. Ao ser instalada, a extensão executa automaticamente um arquivo que baixa um programa legítimo de acesso remoto, o ConnectWise ScreenConnect, permitindo que os invasores controlem o sistema da vítima. Além disso, a extensão possui mecanismos de fallback que garantem a entrega do payload mesmo se a infraestrutura de comando e controle for desativada.

Uma pesquisa da ISH Tecnologia revelou que o WinRAR, uma ferramenta amplamente utilizada para compressão de arquivos, está sendo explorada por hackers para distribuir malwares, como infostealers e trojans, que visam roubar credenciais e realizar fraudes bancárias. Os criminosos disfarçam esses malwares como arquivos comuns, como currículos e documentos corporativos, o que aumenta o risco de infecção. Além disso, grupos estatais de espionagem digital, como o russo Sandworm e o chinês APT40, também estão utilizando essas vulnerabilidades para infiltração e roubo de dados em setores críticos, como energia e defesa. A ISH recomenda que os usuários atualizem o WinRAR ou considerem a substituição por alternativas que ofereçam atualizações automáticas. É importante também evitar abrir anexos suspeitos e monitorar atividades estranhas após a extração de arquivos. A falta de um sistema de atualização automática no WinRAR pode expor usuários a riscos sérios, mesmo após a liberação de correções para vulnerabilidades.

A Nike está investigando um possível vazamento de dados após ser alvo do grupo hacker WorldLeaks, que afirma ter roubado até 1,4 TB de informações internas da empresa. O grupo divulgou amostras dos dados na dark web, incluindo pastas relacionadas a roupas esportivas e processos de fabricação, mas não parece que informações de usuários ou dados que identifiquem funcionários tenham sido comprometidos. A Nike, que até agora não havia enfrentado grandes ciberataques, declarou que valoriza a privacidade dos usuários e está levando a questão a sério. O WorldLeaks é conhecido por invadir grandes empresas, como Dell e Chain IQ, e é considerado um sucessor do grupo Hunters International. A investigação está em andamento, mas a Nike não confirmou oficialmente a invasão. O ataque destaca a crescente preocupação com a segurança de dados em grandes corporações e a necessidade de medidas preventivas eficazes.

A Meta iniciou a implementação de uma nova funcionalidade de segurança no WhatsApp, chamada ‘Configurações de Conta Rigorosas’, destinada a proteger jornalistas, figuras públicas e outros indivíduos em alto risco contra ameaças sofisticadas, como ataques de spyware. Essa nova camada de segurança complementa a criptografia de ponta a ponta já existente, oferecendo controles de privacidade extremos que podem ser ativados apenas a partir do dispositivo principal do usuário. Ao habilitar essa opção, os usuários terão suas contas protegidas por medidas rigorosas, como verificação em duas etapas, bloqueio de mídias e anexos de remetentes desconhecidos, silenciamento de chamadas de números não salvos, desativação de prévias de links e restrição de informações como ‘última vez visto’ e foto de perfil. A Meta enfatiza que essa funcionalidade é destinada a um número muito limitado de usuários que podem ser alvos de campanhas cibernéticas sofisticadas. A implementação gradual da funcionalidade ocorre em um contexto de crescente preocupação com a segurança digital, especialmente após casos de infecções por spyware, como o Pegasus, que afetaram jornalistas e ativistas. Além disso, a Meta está migrando para a linguagem de programação Rust para aumentar a proteção contra spyware. Essa iniciativa é um reflexo da necessidade de medidas de segurança mais robustas em um cenário de ameaças cibernéticas em constante evolução.

Uma campanha maliciosa, chamada ‘Bizarre Bazaar’, está visando endpoints de Modelos de Linguagem de Grande Escala (LLMs) expostos, com o objetivo de comercializar acesso não autorizado à infraestrutura de IA. Pesquisadores da Pillar Security registraram mais de 35.000 sessões de ataque em 40 dias, revelando uma operação de cibercrime em larga escala. Os atacantes exploram configurações inadequadas, como endpoints não autenticados, para roubar recursos computacionais para mineração de criptomoedas, revender acesso a APIs em mercados darknet e exfiltrar dados de conversas. Os vetores de ataque comuns incluem configurações de LLM auto-hospedadas e APIs de IA expostas. A operação é atribuída a um ator específico que utiliza os pseudônimos “Hecker”, “Sakuya” e “LiveGamer101”. Além disso, a Pillar Security está monitorando uma campanha separada focada em reconhecimento de endpoints de Model Context Protocol (MCP), que pode oferecer oportunidades adicionais de movimento lateral. A campanha ‘Bizarre Bazaar’ continua ativa, e o serviço associado, SilverInc, ainda está operacional.

O artigo de Itamar Apelblat discute como a evolução da inteligência artificial (IA) está desafiando os tradicionais frameworks de conformidade, que foram construídos sob a premissa de que humanos são os principais atores em processos de negócios. Com a incorporação de agentes de IA em fluxos de trabalho regulados, surgem novos riscos de identidade, acesso e conformidade. Esses agentes não apenas assistem, mas agem de forma autônoma, o que pode levar a falhas de conformidade, já que suas decisões são baseadas em algoritmos que mudam constantemente. Isso representa um desafio significativo para os Chief Information Security Officers (CISOs), que agora podem ser responsabilizados não apenas por violações de segurança, mas também por falhas de conformidade resultantes do comportamento da IA. O artigo destaca a necessidade de uma governança robusta sobre identidades não humanas e a importância de controles de acesso rigorosos para garantir a integridade dos dados e a conformidade com regulamentações como SOX, GDPR, PCI DSS e HIPAA. À medida que a IA se torna um ator operacional, a linha entre segurança e conformidade se torna cada vez mais tênue, exigindo que os CISOs adaptem suas estratégias de segurança para incluir esses novos desafios.

Um grupo de cibercriminosos com vínculos à China, conhecido como Mustang Panda, tem utilizado uma versão atualizada de um backdoor chamado COOLCLIENT em ataques de espionagem cibernética. Esses ataques, que ocorreram em 2025, visaram principalmente entidades governamentais em países como Mianmar, Mongólia, Malásia e Rússia, resultando em um roubo abrangente de dados de endpoints infectados. O malware é frequentemente implantado como um backdoor secundário, em conjunto com outras infecções como PlugX e LuminousMoth. O COOLCLIENT é entregue por meio de arquivos carregadores criptografados e utiliza técnicas de DLL side-loading, o que exige um executável legítimo para carregar a DLL maliciosa. O malware é capaz de coletar informações do sistema e do usuário, como pressionamentos de tecla, conteúdos da área de transferência e credenciais de proxy HTTP. Além disso, o grupo tem explorado softwares legítimos para facilitar suas operações, incluindo produtos da Sangfor. As campanhas de Mustang Panda também incluem o uso de programas de roubo de credenciais para navegadores populares, ampliando suas atividades de pós-exploração. Com capacidades que vão além da simples espionagem, como monitoramento ativo de usuários, os ataques representam uma ameaça significativa para a segurança cibernética.

Pesquisadores de cibersegurança revelaram duas falhas significativas na plataforma n8n, que é amplamente utilizada para automação de workflows. A primeira vulnerabilidade, identificada como CVE-2026-1470, possui uma pontuação CVSS de 9.9 e permite que um usuário autenticado contorne o mecanismo de sandbox da expressão, possibilitando a execução remota de código JavaScript malicioso. A segunda falha, CVE-2026-0863, com pontuação CVSS de 8.5, permite a execução de código Python arbitrário no sistema operacional subjacente, também por um usuário autenticado. A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante assuma o controle total de uma instância do n8n, mesmo em modo de execução interna, o que representa um risco significativo para a segurança das organizações. Os desenvolvedores recomendam que os usuários atualizem para versões específicas para mitigar esses riscos. Essas falhas destacam a dificuldade de manter a segurança em linguagens dinâmicas como JavaScript e Python, onde características sutis podem ser exploradas para contornar medidas de segurança.

Uma vulnerabilidade crítica de escape de sandbox foi divulgada na popular biblioteca vm2 do Node.js, que, se explorada com sucesso, pode permitir que atacantes executem código arbitrário no sistema operacional subjacente. A falha, identificada como CVE-2026-22709, possui uma pontuação CVSS de 9.8 em 10.0, indicando seu alto nível de gravidade. O problema decorre da sanitização inadequada dos manipuladores de Promise na versão 3.10.0 do vm2, permitindo que o código escape do ambiente seguro em que deveria ser executado. A biblioteca vm2 é amplamente utilizada para executar código não confiável em um ambiente isolado, mas a descoberta de múltiplas falhas de segurança nos últimos anos levanta preocupações sobre sua confiabilidade. Embora a versão 3.10.2 tenha corrigido essa vulnerabilidade, os mantenedores alertam que novas falhas podem surgir, recomendando que os usuários atualizem para a versão mais recente (3.10.3) e considerem alternativas mais robustas, como o isolated-vm. A situação é crítica, e os usuários devem agir rapidamente para proteger seus sistemas.

O mercado de apostas esportivas no Brasil tem crescido significativamente, mas enfrenta um aumento alarmante de fraudes, especialmente com o uso de deepfakes e inteligência artificial (IA). Um relatório da Sumsub revelou que o uso de deepfakes em golpes aumentou 126% em 2025, com 78% das operadoras de apostas relatando casos desse tipo. Os criminosos utilizam deepfakes de celebridades para criar anúncios fraudulentos, enganando apostadores e levando-os a baixar aplicativos maliciosos que parecem legítimos. A biometria surge como uma solução eficaz para combater essas fraudes, permitindo a verificação da identidade dos usuários e dificultando a criação de contas falsas. Apesar das regulamentações implementadas pelo governo, as operadoras ilegais ainda representam um desafio significativo, pois não estão sujeitas a monitoramento e penalidades. A situação exige que as operadoras legais adotem tecnologias avançadas para se manterem à frente dos criminosos, especialmente em um cenário onde a IA está cada vez mais acessível e utilizada para fraudes.

O grupo de espionagem Mustang Panda, vinculado à China, atualizou sua backdoor CoolClient, que agora possui novas funcionalidades, como roubo de dados de login de navegadores e monitoramento da área de transferência. Pesquisadores da Kaspersky identificaram que a nova variante do malware foi usada em ataques direcionados a entidades governamentais em países como Mianmar, Mongólia, Malásia, Rússia e Paquistão, sendo implantada através de softwares legítimos da empresa chinesa Sangfor. A CoolClient, que opera desde 2022, é utilizada como uma backdoor secundária em conjunto com outras ferramentas como PlugX e LuminousMoth. A nova versão do malware apresenta um módulo de monitoramento da área de transferência, rastreamento de títulos de janelas ativas e coleta de credenciais de proxy HTTP. Além disso, a CoolClient agora pode implantar infostealers para coletar dados de login de navegadores, utilizando tokens de API de serviços legítimos para evitar detecções. A evolução das capacidades do Mustang Panda destaca a necessidade de atenção redobrada por parte das equipes de segurança, especialmente em um cenário onde a infraestrutura crítica pode ser alvo de ataques.

A OpenAI anunciou que começará a exibir anúncios no ChatGPT para usuários com assinatura gratuita ou a de $8, mas os custos para anunciantes podem ser elevados. Embora a empresa não tenha revelado o preço exato, um relatório indica que a taxa pode chegar a até $60 por mil visualizações, o que é comparável ao custo de anúncios em transmissões ao vivo da NFL. Os anúncios aparecerão abaixo das respostas geradas pela IA, e a OpenAI garantiu que não usará informações pessoais dos usuários, incluindo dados de saúde, para treinar seus modelos de anúncios. Além disso, a empresa afirmou que os anúncios não influenciarão as respostas do ChatGPT. Os anunciantes receberão dados sobre impressões e visualizações, mas a OpenAI não divulgará quantos cliques os anúncios geram, o que pode ser um indicativo de uma taxa de cliques (CTR) baixa. Para evitar anúncios, os usuários podem optar pela assinatura do ChatGPT Plus, que custa $20. A implementação dos anúncios está prevista para as próximas semanas.

Recentemente, hackers têm utilizado o Microsoft SharePoint como vetor para realizar ataques direcionados a grandes empresas do setor de energia. O método envolve o roubo de credenciais de funcionários, que são inicialmente comprometidas através de e-mails falsos. Os cibercriminosos enviam mensagens que contêm links para sites fraudulentos, onde as vítimas, ao tentarem fazer login, acabam entregando suas credenciais aos atacantes. Uma vez que os hackers obtêm acesso às contas de e-mail corporativas, eles estabelecem persistência no sistema, criando regras para ocultar suas atividades, como deletar mensagens e marcar e-mails como lidos. Isso permite que eles enviem grandes volumes de e-mails de phishing para contatos internos e externos sem levantar suspeitas. A Microsoft alerta que redefinir senhas não é suficiente, pois os atacantes podem alterar configurações de autenticação, incluindo a autenticação de dois fatores, para manter o controle. A recomendação é que as empresas adotem políticas de segurança rigorosas, como monitoramento de IP e localização, e que os usuários permaneçam cautelosos ao clicar em links desconhecidos.

Uma grave violação de segurança no SoundCloud comprometeu cerca de 29,8 milhões de contas, afetando aproximadamente 20% dos usuários da plataforma de streaming de áudio. O ataque, que ocorreu em dezembro de 2025, foi atribuído ao grupo hacker ShinyHunters, que também tentou extorquir a empresa. Os usuários relataram dificuldades de acesso ao serviço, mesmo ao tentarem utilizar VPNs. Embora o SoundCloud tenha confirmado a invasão, inicialmente não forneceu muitos detalhes, mas posteriormente revelou que os dados vazados incluíam endereços de e-mail, nomes, localizações geográficas e estatísticas de perfil, além de informações que já eram públicas. A situação foi analisada pelo site Have I Been Pwned, que confirmou a exposição de dados pessoais. A empresa tomou medidas para mitigar o problema, mas ainda não se pronunciou sobre as atualizações mais recentes do caso. O incidente destaca a vulnerabilidade de plataformas populares e a necessidade de medidas de segurança robustas para proteger dados sensíveis dos usuários.

Uma vulnerabilidade crítica foi descoberta no Grist-Core, uma ferramenta de planilhas de código aberto, permitindo que cibercriminosos executem códigos remotamente. Identificada como Cellbreak, a falha (CVE-2026-24002) possibilita que fórmulas maliciosas transformem planilhas em pontos de invasão. O pesquisador Vladimir Tokarev destacou que a vulnerabilidade permite a execução de comandos do sistema operacional e JavaScript, rompendo a segurança da sandbox do Pyodide, uma plataforma que deveria isolar a execução de códigos Python no navegador. A falha foi corrigida na versão 1.7.9, lançada em 9 de janeiro de 2026. Para verificar se a versão do Grist está vulnerável, os administradores devem acessar o Painel de Administrador e procurar por “gvisor” ou “pyodide”. A vulnerabilidade é considerada um risco sistêmico, pois pode comprometer a segurança de várias plataformas de automação, permitindo que hackers acessem credenciais e arquivos sensíveis. A atualização do software e a alteração da variável de ambiente GRIST_SANDBOX_FLAVOR são medidas recomendadas para mitigar o problema.

Uma nova campanha de roubo de identidade está em andamento, com foco nas credenciais de single sign-on (SSO) da Okta, visando cerca de 100 grandes empresas. O grupo de hackers conhecido como Scattered LAPSUS$ Hunters (SLH) está utilizando uma técnica sofisticada de vishing (phishing por voz) para obter acesso à infraestrutura corporativa e exfiltrar dados sensíveis, buscando extorquir as vítimas. Os pesquisadores da Silent Push descobriram que os atacantes estão usando um ‘Live Phishing Panel’, que permite interceptar credenciais e tokens de autenticação multifatorial (MFA) em tempo real durante as sessões de login. Embora não haja confirmação de que as empresas-alvo tenham sido comprometidas, o risco é significativo, pois uma sessão do Okta comprometida dá ao invasor acesso a todos os aplicativos do ambiente corporativo. A campanha destaca a necessidade de treinamento de segurança mais eficaz, já que os operadores do SLH são altamente persuasivos e manipulam páginas de phishing em tempo real para enganar as vítimas. As empresas mencionadas incluem nomes de destaque como Atlassian e GameStop, mas até o momento, não há evidências de que tenham sofrido brechas confirmadas.

Uma nova acusação de um grande júri federal em Nebraska resultou na imputação de 31 indivíduos por envolvimento em uma operação de jackpotting em caixas eletrônicos, supostamente orquestrada pela gangue venezuelana Tren de Aragua. As acusações se seguem a duas outras denúncias anteriores, que totalizam 87 membros da gangue processados nos últimos seis meses. Os réus são acusados de usar malware Ploutus para roubar milhões de dólares de caixas eletrônicos em todo os Estados Unidos. O malware foi instalado em caixas eletrônicos após a abertura de suas carcaças, permitindo que os criminosos eliminassem evidências e forçassem os dispositivos a liberar dinheiro. A gangue, que evoluiu de uma organização criminosa local para uma designada como organização terrorista estrangeira pelo Departamento do Tesouro dos EUA, representa uma ameaça significativa à segurança financeira. Se condenados, os réus enfrentam penas de prisão que variam de 20 a 335 anos. O caso destaca a crescente complexidade e sofisticação das ameaças cibernéticas, exigindo atenção redobrada das instituições financeiras e autoridades de segurança.

A Nike está investigando um possível incidente de cibersegurança após o grupo de ransomware World Leaks vazar 1,4 TB de arquivos que supostamente foram roubados da empresa. O grupo afirma ter acessado quase 190 mil arquivos contendo dados corporativos sobre as operações da Nike. A empresa enfatizou a seriedade com que trata a privacidade e a segurança dos dados dos consumidores e está avaliando a situação. Antes da publicação deste artigo, a entrada da Nike no site de vazamentos do World Leaks foi removida, o que pode indicar que a empresa está em negociações ou que um resgate foi pago. No entanto, a Nike ainda não confirmou a alegação de roubo de dados. O World Leaks é considerado uma rebrand do Hunters International, que mudou seu foco de criptografia de arquivos para roubo de dados e extorsão. Este grupo já foi responsável por mais de 280 ataques a diversas organizações, incluindo o Serviço de Marshals dos EUA e a Tata Technologies. O incidente destaca a crescente ameaça de grupos de ransomware e a necessidade de vigilância constante na proteção de dados corporativos.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-8088, no software WinRAR está sendo explorada por diversos grupos de ameaças, tanto patrocinados por estados quanto motivados financeiramente. Essa falha de segurança, que se trata de um erro de travessia de caminho, permite que atacantes escrevam arquivos maliciosos em locais arbitrários, utilizando Fluxos de Dados Alternativos (ADS). Pesquisadores da ESET descobriram a vulnerabilidade e relataram que o grupo RomCom, alinhado à Rússia, a estava explorando em ataques zero-day desde julho de 2025. O Google Threat Intelligence Group (GTIG) confirmou que a exploração da vulnerabilidade continua ativa, com grupos de espionagem e cibercriminosos utilizando-a para implantar malware em pastas de inicialização do Windows. Os atacantes frequentemente ocultam arquivos maliciosos dentro de arquivos de isca, como documentos PDF, que, ao serem abertos, extraem o payload malicioso. Entre os grupos observados estão UNC4895, APT44 e Turla, que utilizam a vulnerabilidade para distribuir uma variedade de malwares, incluindo ferramentas de acesso remoto e ladrões de informações. A exploração dessa vulnerabilidade reflete a crescente comercialização do desenvolvimento de exploits, facilitando ataques a sistemas não corrigidos.

Entidades do governo indiano foram alvo de duas campanhas de ciberespionagem, conhecidas como Gopher Strike e Sheet Attack, atribuídas a um ator de ameaças baseado no Paquistão. As campanhas foram identificadas pela Zscaler ThreatLabz em setembro de 2025 e utilizam técnicas de ataque inovadoras. O Sheet Attack utiliza serviços legítimos como Google Sheets e Firebase para controle de comando e controle (C2), enquanto o Gopher Strike inicia com e-mails de phishing que induzem os usuários a baixar um arquivo ISO malicioso disfarçado de atualização do Adobe Acrobat Reader DC.

A Meta anunciou a adição de uma nova funcionalidade chamada ‘Configurações de Conta Rigorosas’ no WhatsApp, destinada a proteger usuários que podem ser alvos de ataques cibernéticos avançados, como jornalistas e figuras públicas. Essa funcionalidade, semelhante ao Modo de Bloqueio do iOS e à Proteção Avançada do Android, visa aumentar a segurança ao restringir algumas opções de conta e bloquear o recebimento de mídias e anexos de contatos desconhecidos. Ao ativar esse modo, os usuários podem silenciar chamadas de números não salvos e limitar outras configurações que podem comprometer sua segurança. A Meta também anunciou a adoção da linguagem de programação Rust em sua funcionalidade de compartilhamento de mídia, o que promete aumentar a segurança contra ataques de spyware. Essa mudança é parte de uma abordagem mais ampla para garantir a segurança dos usuários, minimizando a exposição a ataques e investindo em garantias de segurança para o código existente. A nova funcionalidade será disponibilizada gradualmente nas próximas semanas, e a Meta enfatiza que essas medidas são um passo importante na defesa contínua contra ameaças cibernéticas.

O gerenciador de senhas 1Password implementou uma nova funcionalidade que avisa os usuários sobre URLs suspeitas de phishing por meio de pop-ups. Essa atualização visa aumentar a segurança dos usuários, ajudando-os a identificar páginas maliciosas e evitando que suas credenciais sejam comprometidas. O serviço, amplamente utilizado, já possui suporte nativo para gerenciamento de passkeys no Windows. Apesar de oferecer essa proteção, a 1Password não preenche automaticamente os dados de login em URLs não cadastradas no cofre, o que significa que os usuários ainda precisam estar atentos a possíveis ataques de typosquatting, onde URLs enganosas podem levar a sites fraudulentos. Uma pesquisa realizada nos EUA revelou que 61% dos usuários já caíram em golpes de phishing, e 75% não verificam a URL antes de clicar em links, o que é especialmente preocupante em ambientes corporativos. A nova funcionalidade será disponibilizada automaticamente para planos individuais e familiares, enquanto administradores de planos empresariais precisarão ativá-la. A 1Password também destacou a crescente utilização de ferramentas de IA em golpes, tornando as páginas falsas mais convincentes do que nunca.

Cerca de 1,5 milhão de usuários do Visual Studio Code (VSCode) podem ter sido impactados por duas extensões maliciosas que se apresentavam como assistentes de inteligência artificial. Pesquisadores da Koi Security identificaram que essas extensões, chamadas ‘ChatGPT – 中文版’ e ‘ChatMoss (CodeMoss)’, foram criadas por hackers chineses e têm como objetivo roubar dados sensíveis, como senhas e informações de criptomoedas. Apesar de oferecerem funcionalidades legítimas, as extensões enviam dados para um servidor malicioso na China sem o conhecimento dos usuários. O ataque é parte de uma campanha denominada ‘MaliciousCorgi’, que utiliza três métodos distintos para exfiltrar informações: monitoramento em tempo real dos arquivos abertos, captura silenciosa de até 50 arquivos e um iframe invisível que rastreia o comportamento do usuário. A Microsoft está ciente do problema e está avaliando a situação, mas as extensões ainda estão disponíveis para download no marketplace do VSCode. Este incidente destaca a necessidade de vigilância constante em relação a ferramentas de desenvolvimento amplamente utilizadas e a importância de verificar a origem das extensões instaladas.

Uma nova campanha de cibersegurança, identificada por pesquisadores da BlackPoint, utiliza um ataque conhecido como ClickFix para explorar scripts do Microsoft Application Virtualization (App-V) e distribuir malware. Os hackers, supostamente norte-coreanos, implementam um CAPTCHA falso que induz a vítima a executar um comando malicioso via PowerShell, resultando na instalação de um infostealer chamado ‘Amatera’. Este malware é projetado para coletar informações sensíveis do usuário, incluindo dados do navegador. A operação é alarmante devido à evolução contínua do Amatera, que se torna mais sofisticado com cada atualização. O ataque começa com uma falsa verificação de CAPTCHA, que instrui o usuário a colar e executar um comando que ativa um script legítimo do App-V, camuflando a atividade maliciosa. Após a execução, o malware se conecta a um arquivo do Google Agenda para recuperar dados codificados e inicia um processo oculto que carrega o infostealer diretamente na memória do dispositivo. Especialistas recomendam que os usuários restrinjam o acesso à função ‘Executar’ do Windows e removam componentes do App-V quando não forem necessários, a fim de mitigar os riscos associados a essa ameaça.

Em 2025, o setor de saúde enfrentou 445 ataques de ransomware a hospitais e clínicas, mantendo-se estável em relação a 2024. No entanto, os ataques a empresas do setor aumentaram em 25%, totalizando 191 incidentes. Embora os ataques a provedores de saúde tenham diminuído no início do ano, houve um aumento significativo de 50% no quarto trimestre. Os dados indicam que mais de 16,5 milhões de registros foram comprometidos, com uma média de demanda de resgate de $615.000, uma queda de 84% em relação ao ano anterior. Os Estados Unidos lideraram o número de ataques, seguidos por países como Austrália e Reino Unido. Os principais grupos de ransomware identificados foram Qilin, INC e Medusa. O impacto desses ataques é alarmante, especialmente considerando que muitos provedores de saúde dependem de terceiros para serviços essenciais, aumentando a vulnerabilidade. O ataque ao hospital belga AZ Monica em janeiro de 2026 destaca a continuidade dessa ameaça. A situação exige atenção redobrada das equipes de segurança da informação, especialmente no Brasil, onde a conformidade com a LGPD pode ser afetada.

Hackers comprometeram a segurança do SoundCloud, resultando no roubo de informações pessoais de mais de 29,8 milhões de contas de usuários. O incidente foi confirmado pela plataforma em 15 de dezembro, após relatos de usuários que enfrentaram dificuldades de acesso e erros 403 ao tentar se conectar via VPN. A empresa ativou seus procedimentos de resposta a incidentes ao detectar atividades não autorizadas em um painel de serviço auxiliar. Embora o SoundCloud tenha afirmado que dados sensíveis, como informações financeiras e senhas, não foram acessados, o ataque expôs endereços de e-mail e dados que já eram públicos nos perfis dos usuários. A gangue de extorsão ShinyHunters foi identificada como responsável pelo ataque, que também tentou extorquir a plataforma. O serviço de notificação de vazamentos Have I Been Pwned confirmou que os dados comprometidos incluíam 30 milhões de endereços de e-mail, nomes, nomes de usuário e estatísticas de perfil. O incidente destaca a vulnerabilidade das plataformas digitais e a necessidade de medidas de segurança robustas para proteger dados de usuários.

O cenário do ransomware em 2025 passou por uma transformação significativa, deixando de ser um problema puramente tecnológico para se tornar uma campanha de extorsão sistemática. As operações de ransomware evoluíram para táticas que vão além da simples criptografia de arquivos, utilizando dados roubados, responsabilidade legal e pressão psicológica em larga escala. Após a desarticulação de grupos como LockBit e BlackSuit em 2024, o ecossistema de ransomware se fragmentou, tornando a atribuição e a interrupção mais difíceis. As campanhas atuais empregam uma variedade de táticas, incluindo extorsão dupla, onde os atacantes não apenas criptografam dados, mas também ameaçam divulgar informações sensíveis publicamente. Pequenas e médias empresas (PMEs) se tornaram alvos preferenciais, especialmente em regiões com alta regulamentação, onde as consequências legais de vazamentos de dados são severas. A pesquisa revela que mais de 90% das vítimas do ransomware SafePay eram PMEs, indicando uma estratégia deliberada de ataque. Além disso, os atacantes utilizam táticas psicológicas para manipular suas vítimas, como pressão temporal e medo de repercussões legais, tornando a extorsão mais eficaz. As organizações precisam repensar suas estratégias de defesa e resposta a incidentes para lidar com essa nova realidade.

Pesquisadores de cibersegurança identificaram um framework de comando e controle (C2) chamado PeckBirdy, utilizado por atores de APT alinhados à China desde 2023. Este framework, baseado em JScript, tem como alvo indústrias de jogos na China e entidades governamentais na Ásia. A Trend Micro relatou que o PeckBirdy é implementado através de LOLBins (living-off-the-land binaries), permitindo sua execução em diversos ambientes. O objetivo principal é enganar usuários com páginas falsas de atualização do Google Chrome, levando-os a baixar arquivos maliciosos. O grupo de ataques SHADOW-VOID-044, que utiliza o PeckBirdy, foi responsável pela injeção de scripts maliciosos em sites de jogos. Além disso, o SHADOW-EARTH-045, que começou em julho de 2024, visou instituições governamentais e privadas, incluindo uma escola nas Filipinas, injetando links do PeckBirdy em páginas de login. O framework é notável por sua flexibilidade, permitindo a execução em diferentes ambientes e a comunicação com servidores via WebSocket. Os pesquisadores também identificaram backdoors associados, como HOLODONUT e MKDOOR, que ampliam as capacidades de ataque. A detecção de frameworks JavaScript maliciosos como o PeckBirdy é desafiadora devido à sua natureza dinâmica e à falta de artefatos persistentes.

Uma falha de segurança crítica foi identificada no Grist-Core, uma versão de planilha-relacional de código aberto, que pode resultar em execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2026-24002 e codinome Cellbreak, foi descoberta pelo pesquisador de segurança Vladimir Tokarev. Ele explica que uma fórmula maliciosa pode transformar uma planilha em um ponto de acesso para execução de comandos do sistema operacional ou JavaScript, quebrando a barreira entre a lógica da célula e a execução no host. Essa falha é classificada como uma fuga do sandbox Pyodide, que também afetou recentemente outra plataforma, n8n. A vulnerabilidade foi corrigida na versão 1.7.9, lançada em 9 de janeiro de 2026. Os administradores devem verificar se estão usando o método de sandboxing ‘pyodide’ e, se sim, atualizar imediatamente. A falha permite que um usuário mal-intencionado execute processos arbitrários no servidor, acessando credenciais de banco de dados e chaves de API. A Grist recomenda que os usuários atualizem para a versão mais recente e, como solução temporária, configurem a variável de ambiente GRIST_SANDBOX_FLAVOR para ‘gvisor’. Essa situação destaca a necessidade de um design de sandbox mais robusto e baseado em capacidades para evitar brechas de segurança.

As equipes de cibersegurança estão se afastando da análise isolada de ameaças e vulnerabilidades, buscando entender como essas interagem em seu ambiente real. A Gestão Contínua de Exposição a Ameaças (CTEM) é uma abordagem que se destaca nesse contexto, promovendo um ciclo contínuo de identificação, priorização e remediação de exposições exploráveis. Definida pela Gartner, a CTEM envolve cinco etapas: escopo, descoberta, priorização, validação e mobilização, visando melhorar a postura de segurança das organizações.

Pesquisadores de cibersegurança revelaram uma nova campanha que combina CAPTCHAs falsos com um script assinado da Microsoft para distribuir um ladrão de informações chamado Amatera. O ataque começa com um prompt de verificação CAPTCHA falso que engana os usuários a colar e executar um comando malicioso no diálogo de execução do Windows. Em vez de invocar o PowerShell diretamente, o atacante utiliza o script ‘SyncAppvPublishingServer.vbs’, associado ao Microsoft Application Virtualization (App-V), para executar um carregador na memória a partir de um servidor externo. Essa técnica, que já foi observada em ataques anteriores, é usada para contornar restrições de execução do PowerShell, tornando a detecção mais difícil. O script malicioso busca dados de configuração em um arquivo de calendário público do Google, permitindo que o atacante ajuste rapidamente a infraestrutura sem precisar redistribuir as etapas anteriores do ataque. A campanha, que tem como alvo principalmente sistemas gerenciados por empresas, destaca a evolução das técnicas de engenharia social, como o ClickFix, que se tornou uma das principais formas de acesso inicial em ataques recentes. Com 47% dos ataques observados pela Microsoft utilizando essa técnica, a necessidade de vigilância e defesa eficaz se torna ainda mais crítica para as organizações.

A empresa de vestuário FullBeauty Brands confirmou um vazamento de dados ocorrido entre outubro e novembro de 2025, afetando pelo menos 1.191 pessoas. O incidente, atribuído ao grupo cibercriminoso Everest, resultou na exposição de nomes e números de Seguro Social. O ataque foi reconhecido pelo Everest, que divulgou os dados supostamente roubados após a empresa não atender ao prazo de resgate. A FullBeauty, por sua vez, não confirmou a reivindicação do grupo e não se sabe se um resgate foi pago. A empresa está oferecendo um ano de monitoramento de crédito e proteção contra roubo de identidade aos afetados. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo NASA e o governo brasileiro, e em 2025, reivindicou 15 ataques confirmados. Os ataques de ransomware em varejistas nos EUA aumentaram, com 23 incidentes registrados em 2025, comprometendo mais de 126 mil registros pessoais. O caso da FullBeauty destaca a vulnerabilidade das empresas de varejo a ataques cibernéticos, que podem resultar em perda de dados e interrupção das operações.

Um novo malware como serviço (MaaS) chamado ‘Stanley’ foi identificado, oferecendo extensões maliciosas para o navegador Chrome que conseguem passar pelo processo de revisão da Chrome Web Store. Desenvolvido por um vendedor que utiliza o pseudônimo Stanley, o serviço permite a realização de ataques de phishing ao sobrepor uma página da web com um iframe em tela cheia, exibindo conteúdo malicioso. Além disso, o Stanley promete instalação silenciosa em navegadores como Chrome, Edge e Brave, e oferece suporte para personalizações. O serviço possui diferentes planos de assinatura, sendo o mais caro o Luxe Plan, que inclui um painel web e suporte completo para publicação das extensões maliciosas. A pesquisa da Varonis destaca que o malware realiza polling de comando e controle a cada 10 segundos e pode rotacionar domínios para evitar desativação. Apesar de sua simplicidade técnica, o modelo de distribuição do Stanley é preocupante, pois permite que extensões maliciosas sejam disponibilizadas em uma das maiores plataformas de complementos de navegador. Especialistas recomendam que os usuários instalem apenas extensões necessárias e verifiquem a confiabilidade dos editores.

Durante a competição Pwn2Own no Automotive World 2026, realizada em Tóquio, pesquisadores revelaram vulnerabilidades preocupantes em sistemas de infoentretenimento e carregadores elétricos de veículos. Um dos destaques foi a demonstração de como um carregador portátil, o Autel MaxiCharger AC Elite Home 40A, pode ser comprometido usando um cartão NFC, permitindo que um invasor assuma o controle total do sistema. Ao longo do evento, foram identificadas 66 vulnerabilidades de dia zero nos primeiros dois dias, com cinco em cada seis tentativas de invasão sendo bem-sucedidas. Os especialistas notaram que muitos ataques se aproveitam de falhas simples e não corrigidas, especialmente em sistemas de infoentretenimento, que são mais fáceis de invadir. Além disso, mesmo com sistemas de segurança complexos, os carregadores elétricos ainda são vulneráveis a ataques via Bluetooth. A falta de processos rigorosos de revisão de segurança em componentes automotivos contribui para a proliferação dessas vulnerabilidades, tornando a situação ainda mais alarmante, já que hackers podem usar ferramentas de manutenção para causar danos sem a necessidade de falhas ativas.

A Kaspersky revelou uma nova campanha de phishing que explora o recurso de convites a equipes da OpenAI para roubar dados bancários de usuários. Os hackers, identificados como norte-coreanos, criam contas empresariais falsas que registram links e números de telefone maliciosos, gerando uma falsa sensação de segurança. Utilizando essas contas, eles enviam e-mails fraudulentos a partir de endereços legítimos, pressionando as vítimas a fornecerem informações financeiras. Os e-mails maliciosos frequentemente alegam renovações de assinatura com valores superiores ou oferecem promoções irresistíveis, levando muitos usuários desavisados a cair na armadilha. Além disso, os criminosos também utilizam táticas de vishing, realizando ligações para pressionar as vítimas em tempo real. A Kaspersky recomenda que os usuários desconfiem de convites não solicitados de plataformas da OpenAI e verifiquem cuidadosamente os endereços de e-mail e números de telefone antes de agir.