Cibersegurança

Um novo malware para Android, denominado RatOn, evoluiu de uma ferramenta básica para um sofisticado trojan de acesso remoto, capaz de realizar fraudes financeiras. De acordo com um relatório da ThreatFabric, o RatOn combina ataques de sobreposição tradicionais com transferências automáticas de dinheiro e funcionalidades de comunicação por campo próximo (NFC), tornando-se uma ameaça poderosa. O malware visa aplicativos de carteira de criptomoedas, como MetaMask e Trust, e pode realizar transferências automáticas utilizando um aplicativo bancário específico da República Tcheca.

Recentemente, pesquisadores da ReliaQuest identificaram uma nova técnica de phishing que utiliza ferramentas de cliente HTTP, como Axios, em conjunto com a funcionalidade Direct Send da Microsoft. Essa combinação tem permitido que atacantes formem um ‘pipeline de ataque altamente eficiente’, resultando em um aumento de 241% na atividade do agente de usuário Axios entre junho e agosto de 2025. As campanhas de phishing têm se aproveitado do Direct Send para simular usuários confiáveis e garantir que suas mensagens evitem os gateways de segurança, alcançando uma taxa de sucesso de 70% em algumas operações. Os ataques visam principalmente executivos e gerentes de setores como finanças e saúde, mas rapidamente se expandiram para todos os usuários. Os criminosos utilizam Axios para interceptar e modificar requisições HTTP, capturando tokens de sessão e códigos de autenticação multifatorial em tempo real. Além disso, os e-mails fraudulentos frequentemente contêm documentos PDF com QR codes maliciosos que redirecionam para páginas de login falsas, facilitando o roubo de credenciais. Para mitigar esses riscos, as organizações devem considerar desabilitar o Direct Send, implementar políticas de anti-spoofing e treinar funcionários para reconhecer e-mails de phishing.

Um novo tipo de malware foi identificado na infraestrutura de honeypots da Akamai Hunt, visando APIs Docker mal configuradas para obter acesso root completo e estabelecer persistência a longo prazo. Observado pela primeira vez em agosto de 2025, essa variante se diferencia de descobertas anteriores ao bloquear o acesso de outros atacantes e incorporar múltiplas ferramentas de infecção, preparando o terreno para uma possível botnet distribuída.

O ataque se inicia com um pedido HTTP POST à API remota do daemon Docker, instruindo-o a criar um contêiner Alpine Linux com o sistema de arquivos do host montado. O contêiner executa um comando shell codificado em Base64 que instala ferramentas como curl e Tor, baixa um script secundário de um serviço oculto Tor e altera a configuração SSH do host para permitir login root e adicionar uma chave pública maliciosa para acesso remoto.

A Dynatrace confirmou que dados de clientes armazenados em seu ambiente Salesforce foram comprometidos após um ataque cibernético que visou a aplicação Drift da Salesloft. O incidente permitiu acesso não autorizado a dados do CRM da Salesforce em várias organizações, levando a medidas imediatas de resposta por parte da Salesloft e da Salesforce, que desativaram integrações comprometidas e notificaram os clientes afetados. Os atacantes exploraram a plataforma de comunicação e engajamento de vendas Drift, que mantinha conexões com diversas instâncias do Salesforce. Embora a Dynatrace tenha sido uma das empresas afetadas, a companhia assegurou que o incidente se restringiu a seus sistemas de operações comerciais no Salesforce, sem impacto em produtos ou serviços principais. Os dados comprometidos incluíam informações básicas de contato comercial, como nomes de representantes e identificadores de empresas, mas não houve exposição de casos de suporte ao cliente, uma vez que a Dynatrace não utiliza a funcionalidade de gerenciamento de casos do Salesforce. Após detectar atividades suspeitas, a Dynatrace desativou imediatamente a conexão e iniciou uma investigação interna, colaborando com especialistas em cibersegurança. A empresa continua monitorando atividades suspeitas relacionadas ao incidente e aconselha os clientes a permanecerem vigilantes contra tentativas de phishing e engenharia social que possam explorar os dados comprometidos.

Uma campanha de intrusão sofisticada, iniciada em setembro de 2024, explorou uma vulnerabilidade no instalador do EarthTime da DeskSoft para disseminar diversas famílias de malware e realizar reconhecimento de rede, roubo de credenciais e exfiltração de dados por meio de sessões RDP tuneladas. O ataque começou quando um usuário executou um instalador do EarthTime adulterado, que, ao ser iniciado, ativou uma cadeia de execução anômala que injetou o SectopRAT, um RAT .NET, no processo do MSBuild. Os atacantes estabeleceram persistência ao copiar o payload para a pasta de inicialização e criaram uma conta de administrador local para acesso contínuo. A movimentação lateral foi realizada principalmente por meio de padrões de logon RDP, enquanto um ataque DCSync recuperou credenciais de domínio. A exfiltração de dados foi realizada via FTP em texto claro, expondo credenciais durante a transferência. Este incidente destaca a necessidade crítica de validação robusta de certificados e monitoramento de atividades anômalas em ambientes corporativos.

O SpamGPT é uma nova ferramenta de cibercrime que combina inteligência artificial com plataformas de marketing por e-mail, facilitando a execução de campanhas de phishing em larga escala. Comercializada em fóruns clandestinos como uma solução de “spam como serviço”, a ferramenta reduz drasticamente a barreira técnica para criminosos. Com uma interface que imita softwares de marketing legítimos, o SpamGPT automatiza quase todas as etapas de uma operação de e-mail fraudulenta. Seu núcleo é um framework criptografado que inclui um assistente de IA, o “KaliGPT”, que gera textos persuasivos e personaliza conteúdos para alvos específicos, eliminando a necessidade de habilidades de escrita. Além disso, oferece painéis em tempo real para monitoramento de entregabilidade e métricas de engajamento, características normalmente restritas a grandes empresas. O SpamGPT permite que até iniciantes lancem operações de spam em massa, utilizando técnicas avançadas de spoofing para contornar verificações de segurança. Essa evolução no cibercrime torna os ataques de phishing mais escaláveis e convincentes, exigindo que as organizações adotem medidas robustas de segurança por e-mail, como políticas DMARC, SPF e DKIM, além de soluções de segurança baseadas em IA para detectar padrões de phishing gerados por IA.

Um ataque à cadeia de suprimentos de software comprometeu múltiplos pacotes do npm após o roubo da conta de um mantenedor, Josh Junon, em um ataque de phishing. O e-mail fraudulento, que se disfarçou como uma comunicação oficial do npm, induziu Junon a inserir suas credenciais e token de autenticação de dois fatores (2FA) em uma página falsa. Isso permitiu que os atacantes publicassem versões maliciosas de 20 pacotes populares, que juntos somam mais de 2 bilhões de downloads semanais. O malware injetado foi projetado para interceptar solicitações de transações de criptomoedas, substituindo o endereço da carteira de destino por um controlado pelos atacantes. A análise do código malicioso revelou que ele atua como um interceptor baseado em navegador, comprometendo o tráfego de rede e APIs de aplicativos. O incidente destaca a vulnerabilidade dos ecossistemas de pacotes, como o npm, que são alvos frequentes devido à sua popularidade. Especialistas alertam para a necessidade de vigilância constante e fortalecimento das práticas de segurança nas cadeias de suprimentos de software.

Pesquisadores de segurança cibernética identificaram um conjunto de 45 domínios associados a grupos de ameaças ligados à China, como Salt Typhoon e UNC4841, com registros que datam de maio de 2020. A análise, realizada pela Silent Push, revela que esses domínios compartilham infraestrutura com atividades anteriores, incluindo a exploração de uma vulnerabilidade crítica (CVE-2023-2868) em dispositivos Barracuda Email Security Gateway. Salt Typhoon, ativo desde 2019, ganhou notoriedade por atacar provedores de telecomunicações nos EUA e é supostamente operado pelo Ministério da Segurança do Estado da China. A pesquisa também destacou o uso de endereços de e-mail Proton Mail para registrar domínios com informações falsas. A recomendação é que organizações que possam estar em risco de espionagem chinesa verifiquem seus logs DNS dos últimos cinco anos em busca desses domínios e seus subdomínios. O alerta é especialmente relevante considerando a crescente preocupação com a cibersegurança em um cenário global cada vez mais complexo.

Um novo relatório da VirusTotal, da Google, revela uma técnica inovadora utilizada por hackers para ocultar malwares em arquivos de imagem SVG (Scalable Vector Graphics). Embora esses arquivos sejam comumente considerados inofensivos, eles podem conter códigos maliciosos embutidos. A análise identificou uma campanha que utilizou mais de 500 imagens SVG para disseminar malwares, imitando agências governamentais e conseguindo evitar a detecção por antivírus tradicionais. A ameaça foi descoberta após a plataforma Code Insight, que utiliza inteligência artificial para identificar vírus, começar a escanear arquivos SVG. As imagens continham códigos JavaScript disfarçados como páginas HTML, levando os usuários a um site falso do judiciário da Colômbia. Ao interagir com a imagem, o usuário era induzido a baixar um arquivo zip protegido por senha, que, ao ser extraído, revelava um executável malicioso. Essa técnica de ocultação foi tão eficaz que 44 das 523 imagens analisadas passaram despercebidas pelos antivírus. A situação levou à decisão da Microsoft de desabilitar a renderização de SVGs em seu serviço de e-mail Outlook, destacando a gravidade da ameaça.

Um vazamento significativo de dados expôs as operações do grupo cibernético Kimsuky, vinculado à Coreia do Norte, revelando táticas e técnicas avançadas de ataque. O conjunto de dados vazados mostra operações sofisticadas de roubo de credenciais, com foco em redes da Coreia do Sul e Taiwan, integrando infraestrutura chinesa. Entre as descobertas, destaca-se o desenvolvimento de malware avançado e a implementação de um rootkit Linux, que permite acesso persistente e oculto aos sistemas. Além disso, o uso de ferramentas de Reconhecimento Óptico de Caracteres (OCR) para analisar documentos de segurança em coreano sugere tentativas de clonar sistemas de Infraestrutura de Chave Pública (PKI) da Coreia do Sul. O vazamento inclui arquivos de certificados PKI comprometidos, evidenciando a penetração em infraestruturas digitais críticas. O operador Kim demonstra uma evolução preocupante nas operações cibernéticas de nações-estado, utilizando recursos chineses para expandir seu alcance e dificultar a atribuição de ataques. Essa situação representa um risco elevado para a segurança cibernética na região e, potencialmente, para o Brasil, dada a interconexão global das redes.

O ransomware LunaLock emergiu como uma nova ameaça, atacando artistas independentes e clientes de arte digital ao comprometer a plataforma Artists & Clients, um mercado popular para obras encomendadas. Em 8 de setembro de 2025, os operadores do LunaLock anunciaram que conseguiram invadir a infraestrutura da plataforma, exfiltrando arquivos sensíveis e criptografando bancos de dados críticos, exigindo um resgate substancial em criptomoeda. A análise forense preliminar revelou que os atacantes exploraram uma vulnerabilidade zero-day no módulo de autenticação da aplicação web, utilizando uma injeção SQL para contornar a autenticação multifatorial e obter privilégios administrativos. Uma vez dentro, eles implantaram um carregador personalizado que desativou a proteção em tempo real do Windows Defender e um módulo de exfiltração que buscou arquivos de arte e dados pessoais dos clientes, criptografando-os com AES-256-GCM. O ransomware, por sua vez, utilizou RSA-4096 para criptografar os arquivos, adicionando a extensão .luna. Os atacantes ameaçaram publicar os dados roubados em sites de vazamento caso o resgate não fosse pago em até 72 horas. A equipe de segurança da Artists & Clients já tomou medidas, como a desativação dos servidores afetados e a implementação de agentes de detecção e resposta em endpoints para mitigar a situação. Especialistas em cibersegurança recomendam que organizações do setor criativo adotem controles de acesso de menor privilégio e mantenham backups offline para se protegerem contra tais ataques.

Durante uma coletiva de imprensa em 1º de setembro de 2025, o presidente da Venezuela, Nicolás Maduro, apresentou um smartphone Huawei Mate X6, presente do presidente chinês Xi Jinping, e fez declarações audaciosas sobre a segurança do dispositivo. Maduro afirmou que o telefone é ‘inhackeável’ por agências de inteligência dos EUA, incluindo suas aeronaves de espionagem e satélites. Essa afirmação se insere em um contexto de tensões geopolíticas entre China e Estados Unidos, onde a Huawei, fabricante de equipamentos de telecomunicações, enfrenta restrições severas desde 2020 devido a preocupações de segurança nacional. As alegações de Maduro podem estar relacionadas ao sistema operacional HarmonyOS e aos processadores Kirin da Huawei, que visam reduzir a dependência de tecnologias controladas pelos EUA. No entanto, especialistas em cibersegurança expressam ceticismo quanto à possibilidade de qualquer dispositivo ser realmente ‘inhackeável’, dado que smartphones modernos apresentam múltiplas vulnerabilidades. Além disso, vários países europeus, como a Alemanha, impuseram restrições ao uso de equipamentos da Huawei em infraestruturas críticas, citando preocupações sobre a possibilidade de a empresa ser obrigada a colaborar com atividades de espionagem. A exibição do dispositivo por Maduro simboliza a busca da Venezuela por independência tecnológica e seu alinhamento com os interesses geopolíticos da China.

A Salesloft confirmou um vazamento de dados relacionado ao seu aplicativo Drift, que teve início com a violação de sua conta no GitHub. A investigação conduzida pela Mandiant, subsidiária do Google, revelou que o ator de ameaças identificado como UNC6395 teve acesso à conta do GitHub da Salesloft entre março e junho de 2025. Durante esse período, o invasor conseguiu baixar conteúdos de múltiplos repositórios, adicionar um usuário convidado e estabelecer fluxos de trabalho. Além disso, foram realizadas atividades de reconhecimento nas aplicações Salesloft e Drift. Embora não haja evidências de atividades além do reconhecimento, os atacantes conseguiram acessar o ambiente da Amazon Web Services (AWS) do Drift e obter tokens OAuth, que foram utilizados para acessar dados de integrações tecnológicas de clientes do Drift. Em resposta ao incidente, a Salesloft isolou a infraestrutura do Drift e tomou medidas de segurança, como a rotação de credenciais e a melhoria do controle de segmentação entre as aplicações. A Salesforce, que havia suspenso temporariamente a integração com a Salesloft, reestabeleceu a conexão, exceto para o aplicativo Drift, que permanecerá desativado até nova ordem.

Pesquisadores da empresa ERNW descobriram uma vulnerabilidade crítica no Windows Hello, sistema de login que utiliza reconhecimento facial, permitindo que hackers acessem computadores usando o rosto de outra pessoa. Denominado Faceplant, o ataque foi apresentado na conferência Black Hat 2025. O método envolve o cadastro do rosto do hacker em um computador que gera um modelo biométrico. Após isso, os criminosos extraem e injetam esse modelo na base de dados biométrica da vítima, permitindo que se passem pelo usuário legítimo. Essa técnica é mais sofisticada que o ataque anterior, conhecido como Face Swap, que trocava identificadores entre contas já cadastradas. Para realizar o ataque, o hacker precisa de permissões de administrador, que podem ser obtidas através de malwares ou phishing. Para se proteger, recomenda-se desconfiar de mensagens suspeitas e utilizar autenticação em dois fatores.

Um estudo abrangente realizado ao longo de três anos em Austrália, Canadá, Nova Zelândia e Reino Unido revelou tendências alarmantes nas operações de ransomware, com organizações australianas registrando 135 ataques documentados entre 2020 e 2022. A pesquisa analisou 865 incidentes de ransomware e destacou a evolução sofisticada das empresas cibernéticas, que agora adotam modelos de ransomware-as-a-service (RaaS). Nesse modelo, grupos principais desenvolvem o malware e gerenciam os pagamentos, enquanto afiliados realizam as invasões e negociações de resgate. O grupo Conti foi o mais ativo, com 141 ataques, seguido pelas variantes do LockBit, que contabilizaram 129 incidentes. O setor industrial foi o mais afetado, com o estudo utilizando inteligência artificial para classificar as organizações atacadas em 13 setores, alcançando 89% de precisão. Os resultados ressaltam a necessidade urgente de medidas de cibersegurança aprimoradas nas infraestruturas críticas australianas, à medida que os grupos de ransomware continuam a evoluir suas táticas e expandir suas capacidades operacionais.

Uma nova campanha de malware, chamada Atomic macOS Stealer (AMOS), foi descoberta, visando usuários do macOS ao se disfarçar como software pirata. Os atacantes atraem as vítimas para sites maliciosos que oferecem versões ‘crackeadas’ de aplicativos populares. O malware utiliza técnicas enganosas de instalação que exploram as permissões do Gatekeeper do macOS e comandos do Terminal. Uma vez instalado, o AMOS coleta informações sensíveis, como credenciais, cookies de navegador e dados de carteiras de criptomoedas, antes de exfiltrar essas informações para servidores controlados pelos atacantes. As organizações são aconselhadas a reforçar as configurações do Gatekeeper, desativar a instalação de software não assinado e treinar os usuários sobre os riscos associados ao software pirata. A detecção e resposta gerenciadas são essenciais para mitigar os riscos associados a essa ameaça, que representa um sério desafio à segurança, especialmente em ambientes corporativos que utilizam dispositivos Apple.

Autoridades federais dos Estados Unidos estão investigando um sofisticado ataque de malware que visou partes interessadas nas negociações comerciais entre os EUA e a China. Especialistas em cibersegurança associam a operação aos serviços de inteligência chineses. O ataque foi realizado por meio de um e-mail fraudulento que parecia ser enviado pelo representante John Moolenaar, presidente do Comitê Selecionado da Câmara sobre Competição Estratégica entre os EUA e o Partido Comunista Chinês. A mensagem maliciosa foi distribuída em julho para grupos comerciais, escritórios de advocacia e agências governamentais envolvidos nas discussões bilaterais. A campanha de phishing, atribuída ao grupo APT41, utilizou táticas de engenharia social, solicitando que os destinatários revisassem uma legislação proposta em um anexo. A abertura desse anexo poderia ter implantado malware, permitindo acesso extensivo à rede dos atacantes. A investigação, que envolve o FBI e a Polícia do Capitólio dos EUA, foi desencadeada após questionamentos sobre os e-mails suspeitos. A embaixada chinesa em Washington negou envolvimento, afirmando que a China se opõe a todos os tipos de ciberataques. A investigação continua ativa para determinar se os sistemas ou informações sensíveis foram comprometidos.

Um grupo de pesquisadores de segurança cibernética demonstrou uma nova técnica que utiliza a poluição de parâmetros HTTP para contornar firewalls de aplicações web (WAFs) e executar scripts maliciosos em aplicações ASP.NET. A técnica se baseia no comportamento de concatenação de strings de consulta do ASP.NET, onde parâmetros duplicados são mesclados em uma única entrada separada por vírgulas. Ao distribuir fragmentos de carga útil em múltiplos parâmetros, os pesquisadores conseguiram ocultar operações maliciosas das regras de detecção convencionais dos WAFs.

Pesquisadores de cibersegurança da Wiz descobriram uma campanha de phishing sofisticada que explora o Amazon Simple Email Service (SES) para realizar ataques em larga escala. Identificada em maio de 2025, a campanha começou com chaves de acesso da AWS roubadas, um vetor de ataque comum. O que a tornou particularmente perigosa foi a capacidade do atacante de escalar suas permissões de envio de e-mails, passando do modo ‘sandbox’ restrito para acesso de produção sem limitações.

O Wayne Memorial Hospital, localizado em Jesup, Georgia, confirmou um vazamento de dados que afetou 163.440 pessoas, revelando informações sensíveis como números de Seguro Social, senhas, dados financeiros e históricos médicos. O incidente, que ocorreu entre 30 de maio e 3 de junho de 2024, foi atribuído ao grupo de ransomware Monti, que ameaçou divulgar os dados roubados até 8 de julho de 2024. Inicialmente, o hospital havia notificado apenas 2.500 pessoas sobre o vazamento em agosto de 2024, mas atualizou o número após uma investigação forense que revelou o alcance do ataque. O hospital está oferecendo 12 meses de assistência contra fraudes e monitoramento de crédito aos afetados. Monti, que já foi responsável por outros ataques a instituições de saúde, utiliza vulnerabilidades de software para acessar e criptografar dados, exigindo resgates para a devolução das informações. Em 2024, foram registrados 174 ataques de ransomware a provedores de saúde nos EUA, comprometendo cerca de 28,6 milhões de registros, destacando a crescente ameaça a esse setor.

Na última semana, o incidente de segurança envolvendo a Salesloft e a Drift destacou a vulnerabilidade das integrações entre sistemas. Ataques direcionados resultaram no roubo de tokens OAuth, permitindo acesso a dados do Salesforce de várias empresas de tecnologia de grande porte. A Salesloft decidiu retirar temporariamente a Drift do ar para revisar a aplicação e aumentar a segurança do sistema. Entre as empresas afetadas estão Cloudflare, Google Workspace e Palo Alto Networks. Além disso, o artigo menciona outras ameaças ativas, como a exploração de uma vulnerabilidade no Sitecore, que permite execução remota de código, e um novo backdoor do grupo de hackers russo APT28, que visa usuários do Microsoft Outlook. O uso de inteligência artificial por hackers também foi destacado, com ferramentas como HexStrike AI sendo utilizadas para explorar falhas de segurança. O artigo enfatiza a importância de manter sistemas atualizados e monitorar vulnerabilidades ativas para evitar danos significativos.

Pesquisadores de cibersegurança revelaram uma nova campanha de malware sofisticada que utiliza anúncios pagos em motores de busca, como o Google, para disseminar malware a usuários desavisados em busca de ferramentas populares, como o GitHub Desktop. A campanha, que começou a ser observada em dezembro de 2024, tem como alvo empresas de TI e desenvolvimento de software na Europa Ocidental. Os links maliciosos, disfarçados como commits legítimos do GitHub, redirecionam os usuários para um domínio falso, ‘gitpage[.]app’, onde um instalador de software malicioso de 128 MB é baixado. Este instalador é projetado para evitar a detecção por sandboxes de segurança devido ao seu tamanho e utiliza uma rotina de descriptografia que depende de uma unidade de processamento gráfico (GPU), chamada GPUGate. O malware executa scripts em PowerShell com privilégios de administrador, permitindo a adição de exclusões ao Microsoft Defender e a execução de tarefas agendadas para persistência. A análise sugere que os atacantes têm proficiência em russo, indicando uma possível origem russa. Além disso, a campanha está associada ao Atomic macOS Stealer, sugerindo uma abordagem multiplataforma. Este incidente destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger as organizações contra ameaças emergentes.

O artigo explora a origem dos primeiros vírus de computador, destacando o Creeper e o Brain. O Creeper, criado em 1971 por Bob Thomas, foi o primeiro programa autorreplicante, que se movia entre computadores na ARPANET, exibindo a mensagem ‘I’M THE CREEPER: CATCH ME IF YOU CAN!’. Em resposta, surgiu o Reaper, considerado o primeiro antivírus, que tinha a função de eliminar o Creeper. Já em 1986, o Brain, desenvolvido pelos irmãos paquistaneses Basit e Amjad Farooq Alvi, se tornou o primeiro vírus de PC a se disseminar em massa através de disquetes, alterando o nome do volume para ‘© Brain’ e causando lentidão nos drives. Embora ambos os programas não fossem destrutivos, eles marcaram o início de uma longa história de cibersegurança, que evoluiu para ameaças digitais complexas e destrutivas nos dias atuais. O artigo conclui que, enquanto o Creeper foi um experimento inofensivo, o Brain representa a primeira epidemia digital, estabelecendo as bases para a batalha contínua entre malware e antivírus.

Um ataque cibernético conhecido como GhostAction comprometeu 327 usuários do GitHub e 817 repositórios, destacando a sofisticação dos atacantes em manter a infraestrutura maliciosa apenas pelo tempo necessário para coletar credenciais. A análise da GitGuardian revelou que a infraestrutura foi desativada rapidamente após o início das divulgações, indicando um nível profissional de inteligência de ameaças. O ataque não apresentou sobreposição com a recente campanha S1ngularity, sugerindo que diferentes grupos de ameaças estão operando de forma independente. A resposta imediata de organizações e registros de pacotes, como o PyPI, que rapidamente colocou projetos comprometidos em modo somente leitura, ajudou a evitar uma contaminação generalizada da cadeia de suprimentos de software. O incidente ressalta a importância da gestão de segredos em ambientes de CI/CD e a necessidade de monitoramento de segurança aprimorado nos fluxos de trabalho do GitHub Actions. As organizações devem implementar varreduras de segurança abrangentes, rotacionar credenciais comprometidas imediatamente e monitorar modificações não autorizadas nos fluxos de trabalho para prevenir ataques semelhantes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica no WhatsApp, identificada como CVE-2025-55177, que já está sendo explorada por cibercriminosos em campanhas de ataque. Essa falha de zero-day afeta a funcionalidade de sincronização de dispositivos do aplicativo, permitindo que atacantes manipulem mensagens de sincronização e forcem dispositivos a processar conteúdo malicioso. O problema reside em uma verificação de autorização incorreta no framework de sincronização entre dispositivos, classificada como CWE-863. A CISA estabeleceu um prazo até 23 de setembro para que agências federais e organizações de infraestrutura crítica implementem correções. A exploração dessa vulnerabilidade pode levar a acessos não autorizados, exfiltração de dados e instalação de malware, ampliando significativamente o risco para os usuários do WhatsApp. A natureza silenciosa do ataque, que não requer interação do usuário, torna a conscientização tradicional ineficaz contra essa ameaça.

A empresa de cibersegurança Tenable confirmou um grande vazamento de dados que afetou informações de contato de seus clientes. O incidente ocorreu devido a uma exploração de vulnerabilidades em integrações de aplicativos de terceiros, especificamente entre o Salesforce e a plataforma de marketing conversacional Drift da Salesloft. Dados de suporte ao cliente, como descrições de problemas e informações de contato, foram acessados por agentes não autorizados. Apesar do vazamento, a Tenable assegurou que seus produtos principais de avaliação de vulnerabilidades não foram comprometidos. A resposta da empresa incluiu a revogação imediata de credenciais, a remoção da aplicação Drift e a implementação de controles de segurança adicionais. Este incidente ressalta a crescente preocupação com a segurança em ambientes de Software como Serviço (SaaS), onde as integrações de APIs podem aumentar a superfície de ataque. A Tenable também reforçou a importância da gestão de riscos de terceiros e da necessidade de soluções robustas de gerenciamento de postura de segurança em SaaS para prevenir acessos não autorizados e manter a conformidade com normas de proteção de dados.

O artigo aborda a crescente ameaça de fraudes na contratação, onde atacantes se infiltram em empresas disfarçados de funcionários legítimos. O caso de ‘Jordan de Colorado’ ilustra como um novo contratado pode ter um histórico impecável, mas na verdade ser um invasor. Com o aumento do trabalho remoto, as organizações perderam as proteções intuitivas das entrevistas presenciais, permitindo que indivíduos mal-intencionados utilizem identidades falsas, referências forjadas e até deepfakes para obter acesso a sistemas críticos. Um relatório recente revelou que mais de 320 operativos norte-coreanos se infiltraram em empresas como trabalhadores de TI remotos, utilizando perfis gerados por IA e manipulação em tempo real para passar por processos de seleção. O artigo sugere a implementação de um modelo de ‘Zero Standing Privileges’ (ZSP), que limita o acesso a informações e sistemas apenas ao necessário, garantindo que mesmo após a contratação, o acesso seja sempre verificado e controlado. Essa abordagem visa equilibrar segurança e produtividade, evitando que a rigidez das políticas de segurança atrapalhe o fluxo de trabalho.

A Microsoft enfrenta crescente escrutínio após a revelação de que a empresa utilizou engenheiros baseados na China para corrigir falhas no SharePoint, um produto que foi alvo de hackers apoiados pelo Estado. O ataque cibernético afetou centenas de empresas e agências governamentais dos EUA, incluindo o Departamento de Segurança Interna (DHS) e a Administração Nacional de Segurança Nuclear (NNSA). As vulnerabilidades permitiram que os invasores acessassem completamente o conteúdo do SharePoint, executando código remotamente e implantando ransomware. Embora a Microsoft tenha emitido um patch rapidamente, ele foi insuficiente para conter os ataques. A empresa confirmou a participação de uma equipe de engenharia da China, mas afirmou que o trabalho era supervisionado por engenheiros dos EUA. Especialistas em cibersegurança expressaram preocupações sobre as leis chinesas que permitem que agências estatais exijam cooperação de empresas privadas, levantando temores sobre a coleta de inteligência. Em resposta à pressão, a Microsoft anunciou que encerrará o uso de engenheiros da China em projetos do Pentágono e está avaliando sua presença em outros projetos governamentais. A empresa também planeja descontinuar o suporte para o SharePoint On-Premises em julho de 2026, incentivando a migração para seu serviço em nuvem, Azure.

Em agosto de 2025, pesquisadores de cibersegurança da Arctic Wolf® descobriram uma campanha sofisticada que utiliza o Google Ads e a infraestrutura do GitHub para implantar o malware GPUGate. Este malware foi projetado para evitar análises padrão e comprometer alvos de TI de alto valor. Os atacantes manipulam os resultados de busca patrocinados do Google para palavras-chave como ‘GitHub Desktop’, levando os usuários a um link de download que parece legítimo, mas redireciona para um repositório GitHub com um link malicioso oculto. Após o download do instalador falso, que imita o verdadeiro GitHub Desktop, a cadeia de infecção começa. O arquivo de 128 MB contém executáveis falsos para confundir ambientes de segurança e utiliza rotinas que só são ativadas em sistemas com GPUs reais, explorando a API OpenCL para um processo de descriptografia baseado em hardware. O malware estabelece persistência através de scripts PowerShell e pode baixar cargas secundárias, como módulos de ransomware e ladrões de informações. A campanha tem como alvo profissionais do setor de TI na Europa Ocidental e destaca a necessidade de novas abordagens de defesa em cibersegurança.

Em 2025, a gestão da superfície de ataque (ASM) se torna essencial para a segurança cibernética, à medida que as organizações ampliam sua presença digital através de serviços em nuvem e trabalho remoto. O ASM é uma disciplina proativa que envolve a descoberta, inventário e monitoramento contínuo de ativos expostos à internet, permitindo a identificação e mitigação de vulnerabilidades antes que sejam exploradas. As melhores empresas de ASM utilizam automação e inteligência artificial para oferecer uma visão abrangente da postura de segurança externa das organizações.

A Windscribe lançou uma atualização significativa para seu aplicativo VPN, focando na facilidade de uso e personalização. As mudanças incluem uma tela inicial mais limpa, uma seção de configurações simplificada e acesso mais rápido a configurações importantes. Os usuários agora podem escolher entre temas de interface, como o Alpha e o minimalista Van Gogh, além de modos claro e escuro para dispositivos móveis. A nova seção ‘Look and Feel’ permite personalizar ainda mais a experiência, com opções para adicionar fundos e sons personalizados ao conectar ou desconectar da VPN. A atualização também facilita o acesso a configurações cruciais, como o Auto-Secure, que ativa automaticamente a VPN em redes não confiáveis, e a troca de protocolos, que agora é feita com um único clique. Embora as opções de personalização sejam divertidas, elas também melhoram a usabilidade, especialmente para novos usuários que podem achar a interface anterior complexa. A Windscribe oferece uma versão gratuita e uma versão Pro, com preços acessíveis a partir de $5,75 por mês.

Os ataques de roubo de contas (Account Takeover - ATO) estão em ascensão, representando uma ameaça significativa no cenário digital atual. Com bilhões de credenciais comprometidas disponíveis no dark web e ferramentas automatizadas que testam milhares de tentativas de login por segundo, cada página de login se torna um alvo potencial. Os atacantes evoluíram suas táticas, utilizando phishing, engenharia social e troca de SIM para contornar autenticações de dois fatores. O artigo destaca cinco soluções eficazes para prevenir ATOs em 2025: Lunar, Telesign, Feedzai, Kount e Sift. Essas plataformas oferecem recursos como monitoramento em tempo real, análise comportamental, autenticação multifatorial e inteligência de risco. A solução Lunar, por exemplo, se destaca por sua ampla cobertura de dados e capacidade de detectar ameaças emergentes rapidamente. A necessidade de soluções robustas contra ATOs é imperativa, especialmente para empresas que não possuem segurança em camadas e detecção de ameaças em tempo real. Com a crescente complexidade dos ataques, as organizações devem adotar medidas proativas para proteger suas credenciais e dados sensíveis.

Um novo conjunto de ataques cibernéticos, denominado Operação BarrelFire, foi atribuído a um grupo de ameaças possivelmente de origem russa, conhecido como Noisy Bear. Os ataques visam especificamente a KazMunaiGas, uma empresa do setor de energia do Cazaquistão, e começaram em abril de 2025. Os atacantes utilizaram e-mails de phishing com documentos falsos que simulavam comunicações internas da empresa, incluindo temas como atualizações de políticas e procedimentos de certificação. O vetor inicial da infecção é um arquivo ZIP que contém um atalho do Windows (LNK) que baixa um script malicioso e um programa chamado ‘KazMunayGaz_Viewer’. O ataque culmina na instalação de um implante DLL que permite o controle remoto do sistema comprometido. Além disso, a infraestrutura dos atacantes está hospedada em um provedor de serviços de hospedagem à prova de balas na Rússia, sancionado pelos EUA. Em paralelo, outras campanhas de ciberespionagem têm sido observadas, incluindo ataques a empresas na Polônia e na Ucrânia, utilizando técnicas semelhantes de engenharia social e malware. Esses incidentes destacam a crescente complexidade e a sofisticação das ameaças cibernéticas na região.

Recentemente, quatro pacotes maliciosos foram identificados no registro npm, projetados para roubar credenciais de carteiras de criptomoedas de desenvolvedores Ethereum. Os pacotes, que se disfarçam como utilitários criptográficos legítimos e infraestrutura MEV da Flashbots, exfiltram chaves privadas e frases mnemônicas para um bot do Telegram controlado por atacantes. O primeiro pacote foi carregado em setembro de 2023, e o mais recente em agosto de 2025. Entre os pacotes, o ‘@flashbotts/ethers-provider-bundle’ é o mais perigoso, pois oculta operações maliciosas sob a aparência de compatibilidade com a API da Flashbots, redirecionando transações não assinadas para carteiras controladas pelos atacantes. A presença de comentários em vietnamita no código-fonte sugere que os atacantes podem ser falantes de vietnamita. Essa situação destaca a exploração da confiança dos desenvolvedores em pacotes conhecidos, transformando o desenvolvimento Web3 em um canal direto para bots maliciosos. A confiança depositada na Flashbots, amplamente utilizada por desenvolvedores DeFi, aumenta o risco de adoção desses pacotes comprometidos, resultando em possíveis perdas financeiras significativas.

Uma nova variante do golpe conhecido como ‘golpe das entregas’ está circulando no Brasil, desta vez utilizando o nome da transportadora Jadlog. Os cibercriminosos têm se aproveitado da crescente movimentação do e-commerce, enviando mensagens que alegam que encomendas estão retidas e exigindo o pagamento de taxas inexistentes via Pix. O diferencial desta versão é a utilização de códigos de rastreamento válidos, que conferem um nível de credibilidade à fraude. No entanto, pequenos detalhes, como a apresentação de pacotes com etiquetas dos Correios, revelam a natureza fraudulenta do golpe. Os golpistas utilizam dados reais das vítimas, obtidos de vazamentos anteriores, para criar uma comunicação convincente. A abordagem é feita em horários estratégicos, como de madrugada, para explorar a vulnerabilidade cognitiva das pessoas. Apesar da sofisticação técnica, a falta de atenção a detalhes básicos e a reutilização de imagens para diferentes vítimas são falhas que podem ser percebidas por usuários mais atentos. Especialistas alertam que a combinação de dados vazados e técnicas de engenharia social torna esses golpes cada vez mais eficazes, exigindo cautela dos consumidores.

Recentemente, a TP-Link confirmou uma vulnerabilidade crítica em vários modelos de roteadores, que ainda não possui correção. A falha, identificada pelo pesquisador Mehrun da ByteRay, é uma vulnerabilidade de zero-day relacionada à sobrecarga de buffer no Protocolo de Gerenciamento CPE WAN (CWMP). Essa falha permite a execução remota de códigos maliciosos, especialmente quando o tamanho dos buffers ultrapassa 3072 bytes. Os atacantes podem explorar essa vulnerabilidade através de um servidor CWMP malicioso, comprometendo roteadores que utilizam credenciais padrão ou firmwares desatualizados. Modelos como Archer AX10 e AX1500 já foram confirmados como vulneráveis, e a TP-Link está desenvolvendo um patch para modelos fora da Europa. Enquanto isso, recomenda-se que os usuários alterem as senhas padrão, desativem o CWMP se não for necessário e atualizem seus dispositivos para a versão mais recente do firmware. A situação é preocupante, especialmente considerando que botnets têm explorado falhas em roteadores para disseminar malware e roubar credenciais, como observado em ataques recentes.

Agências do Federal Civilian Executive Branch (FCEB) dos EUA foram alertadas para atualizar suas instâncias do Sitecore até 25 de setembro de 2025, devido a uma vulnerabilidade crítica identificada como CVE-2025-53690, com um CVSS de 9.0. Essa falha permite a execução remota de código através da deserialização de dados não confiáveis, explorando chaves de máquina ASP.NET expostas. A Mandiant, que descobriu a exploração ativa, observou que a vulnerabilidade foi utilizada em ataques que começaram a ser documentados em dezembro de 2024. Os atacantes, que demonstraram um conhecimento profundo do produto comprometido, conseguiram escalar privilégios e realizar movimentos laterais na rede, resultando em roubo de dados. Para mitigar essa ameaça, as organizações são aconselhadas a rotacionar suas chaves de máquina ASP.NET e verificar suas configurações. A situação destaca a importância de não utilizar chaves padrão expostas em documentações públicas, uma prática que deixou muitas implementações vulneráveis a ataques de deserialização de ViewState.

O festival The Town 2025, que acontece de 6 a 10 de setembro, deve atrair cerca de meio milhão de pessoas, tornando essencial a proteção dos celulares dos participantes. O Canaltech recomenda que os usuários anotem o número IMEI de seus dispositivos, que funciona como um ‘CPF do celular’, permitindo o bloqueio em caso de furto. Além disso, é aconselhável cadastrar o aparelho no aplicativo Celular Seguro BR, que possibilita o bloqueio remoto. Os usuários devem ativar os serviços de localização, como ‘Encontre meu dispositivo’ no Android e ‘Buscar iPhone’ no iOS, para facilitar a localização do celular perdido. Durante o festival, recomenda-se evitar guardar o celular em bolsos traseiros ou soltos, utilizar doleiras ou pochetes e estar atento ao redor ao usar o aparelho. Para garantir que o celular não fique sem bateria, há pontos de carregamento gratuitos disponíveis no evento. Essas medidas visam proporcionar uma experiência mais tranquila e segura para os participantes do festival.

Um novo método de cibercrime foi identificado na rede social X, onde a inteligência artificial Grok está sendo utilizada para disseminar malwares. A técnica, chamada ‘grokking’, permite que golpistas incluam links maliciosos em postagens pagas, burlando as restrições da plataforma. Os criminosos publicam vídeos de conteúdo adulto com links ocultos nos metadados, que não são verificados pela rede social. Quando um usuário pergunta à IA sobre a origem do vídeo, Grok revela o link, dando uma falsa sensação de segurança. Essa prática não apenas engana os usuários, mas também melhora a visibilidade dos domínios maliciosos, levando as vítimas a redes de publicidade suspeitas e CAPTCHAs falsos que visam roubar dados. A empresa de cibersegurança Guardio Labs identificou centenas de contas envolvidas nessa atividade, com milhares de postagens diárias. O diretor da Guardio, Nati Tal, recomendou que a plataforma implemente verificações mais rigorosas nos metadados das postagens para combater essa ameaça. A situação está sob investigação, com a equipe de engenharia da IA analisando o problema.

Um novo ator de ameaças cibernéticas, conhecido como TAG-150, tem causado estragos desde março de 2025, utilizando uma infraestrutura sofisticada e uma variedade de famílias de malware personalizadas. Pesquisas do Insikt Group revelaram que a estrutura do TAG-150 é dividida em quatro camadas, incluindo servidores de comando e controle (C2) voltados para as vítimas, que gerenciam e implantam malwares como CastleLoader, CastleBot e o recém-descoberto CastleRAT, um trojan de acesso remoto (RAT) com variantes em Python e C. O CastleRAT se destaca pela sua sofisticação técnica, sendo capaz de coletar informações do sistema, executar comandos e evadir detecções. Os ataques geralmente começam com técnicas de phishing, onde vítimas são induzidas a executar comandos PowerShell disfarçados. A taxa de infecção entre as vítimas interativas é alarmante, alcançando 28,7%. Para dificultar a identificação, o TAG-150 utiliza serviços de privacidade e move sua infraestrutura frequentemente. Especialistas recomendam bloquear a infraestrutura identificada e monitorar canais de exfiltração de dados. O grupo deve continuar inovando e desenvolvendo novas famílias de malware, representando uma ameaça crescente para organizações em todo o mundo.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) elevou a prioridade de uma nova vulnerabilidade zero-day no componente Android Runtime, classificando-a como de alta gravidade. A falha, identificada como CVE-2025-48543, resulta de um erro de uso após a liberação de memória, permitindo que atacantes escapem do sandbox do Chrome e executem código arbitrário, potencialmente elevando privilégios a nível root em dispositivos Android. A CISA recomenda que organizações e usuários finais implementem medidas de mitigação até 25 de setembro de 2025 para evitar possíveis violações de dados ou controle não autorizado de dispositivos. A vulnerabilidade é especialmente preocupante devido à ampla adoção do Android, que opera bilhões de dispositivos globalmente, expondo dados pessoais e credenciais a agentes maliciosos. As recomendações incluem verificar atualizações de firmware, endurecer configurações do Android Runtime e implementar diretrizes operacionais para monitoramento. Embora não haja evidências de ligação com campanhas de ransomware, a urgência para a aplicação de patches é destacada, uma vez que sistemas não corrigidos permanecerão vulneráveis a acessos não autorizados e exfiltração de dados.

O cenário global de ransomware em 2025 está em constante evolução, com o grupo SafePay se destacando como uma das ameaças mais ativas e disruptivas. Em junho, o grupo assumiu a responsabilidade por ataques a 73 organizações, um recorde mensal que o posicionou no topo do ranking de ameaças da Bitdefender. Em julho, mais 42 vítimas foram divulgadas, totalizando mais de 270 organizações atacadas até agora neste ano. O SafePay, que surgiu em setembro de 2024 após a desarticulação de grandes grupos de ransomware, adota uma abordagem diferente ao rejeitar o modelo de ransomware como serviço (RaaS) e realizar seus próprios ataques, visando empresas de médio e grande porte, especialmente em setores como manufatura, saúde e construção. O grupo utiliza táticas como credenciais comprometidas e ataques de força bruta para obter acesso inicial, seguido por movimentos laterais na rede e exfiltração de dados. A criptografia dos arquivos é realizada com o algoritmo ChaCha20, e os resgates variam amplamente, podendo ultrapassar US$ 100 milhões. A eficiência e a rapidez das divulgações do SafePay destacam a necessidade urgente de medidas de segurança em múltiplas camadas e monitoramento proativo.

Uma vulnerabilidade de alta severidade no SAP S/4HANA, identificada como CVE-2025-42957 e com um score CVSS de 9.9, está sendo ativamente explorada. Essa falha permite que um usuário com privilégios baixos, que possua acesso mínimo ao SAP, realize injeção de código remoto, resultando em uma tomada de controle total do sistema. A vulnerabilidade foi descoberta pelo SecurityBridge em 27 de junho de 2025 e divulgada de forma responsável à SAP, que lançou correções em 11 de agosto de 2025. No entanto, tentativas de exploração já foram observadas no mundo real. Para que um ataque seja bem-sucedido, é necessário apenas um usuário SAP válido com acesso a um módulo RFC vulnerável e a autorização S_DMIS com atividade 02. Uma vez explorada, a falha permite ao atacante executar código ABAP arbitrário, modificar ou excluir registros no banco de dados SAP, criar novos usuários administrativos com privilégios totais e até implantar ransomware. As organizações que utilizam SAP S/4HANA, tanto em ambientes on-premise quanto em nuvem privada, devem aplicar as atualizações de segurança imediatamente para mitigar esse risco crítico.

No segundo trimestre de 2025, a Kaspersky identificou 143.000 pacotes de instalação maliciosos direcionados a dispositivos Android e novas variantes de spyware que infiltraram o ecossistema iOS. Embora o número total de incidentes de malware móvel tenha diminuído para 10,71 milhões em comparação ao trimestre anterior, os trojans e malwares bancários continuam a representar os riscos mais severos para os usuários de smartphones. Os trojans bancários, especialmente da família Mamont, foram responsáveis por 42.220 das infecções, destacando-se o Mamont.ev, que teve um aumento significativo de atividade. Além disso, um novo spyware chamado SparkKitty, que coleta imagens e códigos de recuperação de carteiras de criptomoedas, foi detectado em ambas as plataformas. A descoberta de backdoors pré-instalados em dispositivos Android e a utilização de serviços VPN fraudulentos para ocultar funcionalidades de spyware também foram alarmantes. Apesar da queda no número de incidentes, a qualidade e a diversidade das ameaças aumentaram, exigindo vigilância constante na instalação de aplicativos e na integridade da cadeia de suprimentos.

O grupo de cibercriminosos TAG-150, ativo desde março de 2025, está por trás do malware CastleLoader e do trojan de acesso remoto CastleRAT. O CastleRAT, disponível nas versões Python e C, permite coletar informações do sistema, baixar e executar cargas adicionais, além de executar comandos via CMD e PowerShell. A análise da Recorded Future indica que o CastleLoader é utilizado como vetor de acesso inicial para uma variedade de malwares, incluindo trojans de acesso remoto e ladrões de informações. As infecções geralmente ocorrem por meio de ataques de phishing que imitam plataformas legítimas ou repositórios do GitHub. O CastleRAT possui funcionalidades avançadas, como registro de teclas e captura de telas, e utiliza perfis da Steam como servidores de comando e controle. Recentemente, foram identificadas técnicas de evasão, como o uso de prompts de Controle de Conta de Usuário (UAC) para evitar detecções. Além disso, novas famílias de malware, como TinkyWinkey e Inf0s3c Stealer, foram descobertas, aumentando a preocupação com a segurança cibernética. A situação exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

A ExpressVPN, uma das principais fornecedoras de serviços de VPN, introduziu recentemente três níveis de assinatura: Basic, Advanced e Pro. Cada plano oferece diferentes recursos e preços, permitindo que os usuários escolham a opção que melhor atende às suas necessidades. O plano Basic, por exemplo, oferece acesso à VPN e uma ferramenta de bloqueio de anúncios, cobrindo até 10 dispositivos, com preços a partir de $3,49 por mês em um plano de dois anos. O plano Advanced inclui um gerenciador de senhas e monitoramento de identidade, além de suportar até 12 dispositivos, com preços a partir de $4,49 por mês. Já o plano Pro, o mais completo, oferece proteção para até 14 dispositivos, um endereço IP dedicado e cinco dias de dados eSIM ilimitados, com preços a partir de $7,49 por mês. Todos os planos vêm com uma garantia de devolução do dinheiro em 30 dias, permitindo que os usuários testem o serviço sem riscos. Essa nova estrutura de preços facilita a escolha do plano ideal, especialmente para usuários casuais que buscam segurança online e acesso a conteúdos restritos geograficamente.

Pesquisadores de segurança da eSentire identificaram uma nova botnet e infostealer chamada NightshadeC2, que utiliza uma técnica inovadora chamada ‘UAC Prompt Bombing’ para contornar as defesas do Windows Defender. Essa técnica força as vítimas a aprovar exclusões no Windows Defender através de prompts repetidos, permitindo que o malware opere sem ser detectado. O NightshadeC2 possui variantes em C e Python, com a versão em C oferecendo uma gama completa de funcionalidades, como execução de comandos, captura de tela, keylogging e roubo de credenciais. A distribuição do malware ocorre por meio de ataques ClickFix, onde os usuários são levados a executar comandos maliciosos após interagir com CAPTCHAs falsificados. A técnica de ‘UAC Prompt Bombing’ não só permite que o malware evite a detecção pelo Windows Defender, mas também dificulta a análise em ambientes de sandbox, tornando-se um desafio significativo para a segurança cibernética. Em resposta, a eSentire implementou conteúdos de detecção e recomendações para mitigar os riscos associados, como desativar o prompt de execução do Windows e realizar treinamentos de conscientização sobre phishing. O caso do NightshadeC2 destaca a rápida evolução das táticas de ataque e a necessidade de estratégias de defesa adaptativas.

A Bridgestone Americas confirmou um “incidente cibernético limitado” que afetou temporariamente a fabricação em várias instalações na América do Norte. O ataque foi detectado por volta das 2h da manhã, quando a equipe de segurança da empresa notou tráfego de rede incomum e tentativas de acesso não autorizado aos sistemas de controle de produção, especificamente na rede SCADA (Supervisory Control and Data Acquisition). A resposta ao incidente incluiu a segmentação das VLANs afetadas, a ativação de uma equipe de resposta a incidentes e a verificação da integridade dos backups. Embora a produção tenha sido interrompida em locais como as fábricas em Aiken County, Carolina do Sul, e Joliette, Quebec, a empresa garantiu que não houve comprometimento de dados de clientes ou funcionários. A investigação forense está em andamento para identificar o vetor de ataque e as possíveis vulnerabilidades exploradas. A Bridgestone destacou que sua estrutura de cibersegurança, que inclui autenticação multifatorial e monitoramento contínuo, foi crucial para a rápida contenção do incidente. A empresa planeja publicar um relatório pós-incidente para reforçar a confiança entre seus colaboradores e clientes.

No final de agosto de 2025, houve um aumento significativo na atividade de reconhecimento direcionada a dispositivos Cisco Adaptive Security Appliance (ASA), com mais de 25.000 IPs únicos realizando varreduras no caminho de login da web do ASA. A empresa de inteligência de segurança GreyNoise identificou que 16.794 IPs únicos participaram dessas tentativas de acesso, com 14.000 deles compartilhando a mesma assinatura TLS e TCP, indicando uma infraestrutura de varredura unificada. A maioria das varreduras teve origem no Brasil (64%), com os alvos principais localizados nos Estados Unidos (97%). Essas atividades de escaneamento são frequentemente precursoras da divulgação pública de novas vulnerabilidades (CVEs), e a pesquisa sugere que as explosões de escaneamento podem indicar uma divulgação iminente de vulnerabilidades no ASA. Organizações, mesmo aquelas com sistemas atualizados, são aconselhadas a bloquear proativamente IPs maliciosos identificados para reduzir o risco de serem alvo de campanhas de exploração. O artigo destaca a importância de não expor interfaces de gerenciamento do ASA diretamente à Internet e de implementar autenticação multifator para acesso remoto.

Pesquisadores de segurança revelaram uma vulnerabilidade de estouro de buffer baseada em heap no Driver de Serviço WOW Thunk de Streaming do Kernel do Windows, identificado como CVE-2025-53149. A falha, localizada no componente ksthunk.sys, foi divulgada de forma responsável à Microsoft, que já lançou um patch para corrigir a vulnerabilidade. Essa falha crítica permite que atacantes executem código arbitrário com privilégios elevados por meio de solicitações IOCTL (Input/Output Control) maliciosas. A vulnerabilidade se origina na função CKSAutomationThunk::HandleArrayProperty(), que não valida corretamente os tamanhos dos buffers de saída durante operações de recuperação de propriedades de dispositivos multimídia. O problema ocorre quando o código não verifica adequadamente o comprimento do buffer de saída em relação ao tamanho real dos dados retornados, resultando em uma condição de estouro de buffer. Para explorar essa vulnerabilidade, os atacantes precisam criar solicitações IOCTL direcionadas a dispositivos multimídia que implementam os manipuladores de propriedades afetados. A Microsoft implementou validações adicionais no código para mitigar o risco de exploração. Organizações que utilizam sistemas Windows com hardware multimídia especializado devem priorizar a aplicação das atualizações de segurança de agosto de 2025 para evitar riscos de exploração associados a essa vulnerabilidade.