Cibersegurança

Grupo hacktivista PhantomCore ataca servidores TrueConf na Rússia

O grupo hacktivista pró-Ucrânia, conhecido como PhantomCore, tem sido responsável por uma série de ataques direcionados a servidores que utilizam o software de videoconferência TrueConf na Rússia desde setembro de 2025. Segundo um relatório da Positive Technologies, os atacantes exploraram uma cadeia de três vulnerabilidades, permitindo a execução remota de comandos em servidores vulneráveis. As falhas identificadas incluem uma vulnerabilidade de controle de acesso insuficiente (BDU:2025-10114), uma falha que permite a leitura de arquivos arbitrários (BDU:2025-10115) e uma vulnerabilidade de injeção de comandos com um alto índice de severidade (BDU-2025-10116). Apesar de os patches de segurança terem sido disponibilizados em agosto de 2025, os ataques começaram a ser detectados em setembro do mesmo ano. O grupo utiliza ferramentas sofisticadas para manter a furtividade e realizar operações em larga escala, incluindo a instalação de shells web maliciosos e a coleta de credenciais. Além disso, o PhantomCore tem se mostrado ativo na busca por vulnerabilidades em softwares domésticos, o que aumenta o risco para organizações russas. Este cenário destaca a necessidade de atenção redobrada por parte das empresas, especialmente aquelas que utilizam tecnologias semelhantes ao TrueConf.

A Revolução da Segurança Cibernética com IA Desafios e Oportunidades

O anúncio do Claude Mythos, uma nova IA focada em cibersegurança, gerou intensos debates sobre sua capacidade de identificar vulnerabilidades em larga escala. Embora a descoberta de falhas de segurança mais rapidamente seja um avanço significativo, o artigo destaca um problema operacional crítico: a lacuna entre a descoberta e a remediação. Muitas organizações enfrentam dificuldades em transformar descobertas em ações concretas, resultando em um acúmulo de problemas não resolvidos. A IA pode acelerar a identificação de vulnerabilidades, mas se a infraestrutura organizacional não acompanhar essa velocidade, o resultado será um backlog crescente de questões críticas. Além disso, a taxa de falsos positivos gerada por sistemas como o Mythos pode aumentar a carga de trabalho das equipes de segurança, tornando a triagem e a priorização ainda mais desafiadoras. Para mitigar esses problemas, as organizações precisam de uma gestão centralizada de descobertas, priorização contextualizada de riscos e rastreamento de remediações. O artigo conclui que, em vez de entrar em pânico, as empresas devem auditar seus próprios processos de remediação e se preparar para a nova era da cibersegurança impulsionada pela IA.

Novas Ameaças de Malware e Vulnerabilidades em Cibersegurança

Recentemente, o cenário de cibersegurança tem sido marcado pelo retorno de técnicas antigas e a introdução de novas ameaças. Um malware chamado fast16, desenvolvido antes do famoso Stuxnet, foi identificado como uma ameaça que pode manipular softwares de cálculos de alta precisão, potencialmente causando falhas em sistemas críticos. Além disso, o grupo UNC6692 tem utilizado engenharia social para implantar um malware personalizado chamado Snow, visando roubar dados sensíveis. Outro incidente relevante envolve a descoberta do backdoor FIRESTARTER, que comprometeu um dispositivo da Cisco em uma agência federal dos EUA. No setor energético, o malware Lotus Wiper foi utilizado em ataques na Venezuela, destruindo sistemas essenciais. O grupo de ransomware The Gentlemen tem se destacado por suas operações, enquanto a Bitwarden CLI foi comprometida em um ataque de cadeia de suprimentos, afetando desenvolvedores. A lista de vulnerabilidades críticas, incluindo CVEs relevantes, continua a crescer, exigindo atenção imediata das organizações para mitigar riscos.

Grupo cibercriminoso vaza dados da Checkmarx na dark web

A Checkmarx, empresa israelense de segurança cibernética, revelou que dados relacionados à companhia foram publicados na dark web por um grupo de cibercriminosos. A investigação em andamento sugere que esses dados se originaram de um repositório do GitHub da empresa, acessado durante um ataque à cadeia de suprimentos em 23 de março de 2026. A Checkmarx assegurou que o repositório afetado é mantido separadamente do ambiente de produção de seus clientes e que não contém dados de clientes. A empresa está realizando uma investigação forense para verificar a natureza e o escopo dos dados vazados, que incluem código-fonte, banco de dados de funcionários, chaves de API e credenciais do MongoDB/MySQL. A Checkmarx já bloqueou o acesso ao repositório comprometido e se comprometeu a notificar os clientes caso informações sensíveis sejam confirmadas como envolvidas. O ataque foi atribuído ao grupo LAPSUS$, que também comprometeu outras ferramentas da Checkmarx, como imagens Docker e extensões do VS Code, resultando em um impacto em cadeia que afetou pacotes como o Bitwarden CLI.

Meta permitirá que pais vejam conversas de filhos com IA

A Meta, empresa responsável por plataformas como Facebook, WhatsApp e Instagram, anunciou uma nova ferramenta que permitirá aos pais monitorar as interações de seus filhos adolescentes com o chatbot de inteligência artificial da empresa. A funcionalidade, que será acessível na aba ‘Insights’ dentro da Supervisão Para Contas de Adolescente, mostrará os tópicos discutidos pelos adolescentes com a IA nos últimos sete dias. Os temas incluem escola, entretenimento, saúde e bem-estar, entre outros. Essa medida visa aumentar a segurança dos jovens, especialmente em relação a discussões sobre temas sensíveis como suicídio e autoflagelação, que já eram monitorados anteriormente. A nova funcionalidade está sendo lançada inicialmente em países como Brasil, Austrália, Canadá, Estados Unidos e Reino Unido, com planos de expansão global. A Meta também enfrenta críticas e processos legais por criar experiências viciantes e por falhas em proteger crianças em suas plataformas, tendo sido multada em US$ 375 milhões por não impedir a exploração infantil. Para mitigar esses problemas, a empresa formou um Conselho de Especialistas em Bem-Estar na IA, que tem a responsabilidade de garantir que as experiências oferecidas sejam seguras e apropriadas para os adolescentes.

Fraude em telecomunicações usa CAPTCHA falso para enganar usuários

Pesquisadores de cibersegurança revelaram uma campanha de fraude em telecomunicações que utiliza truques de verificação CAPTCHA falsos para enganar usuários desavisados a enviar mensagens de texto internacionais, resultando em cobranças em suas contas de celular. De acordo com um relatório da Infoblox, a operação está ativa desde junho de 2020 e envolve engenharia social e sequestro do botão ‘voltar’ em navegadores. A fraude, conhecida como International Revenue Share Fraud (IRSF), utiliza números de telefone registrados em países com altas taxas de terminação e colaborações com provedores locais para maximizar os lucros. Os usuários são redirecionados para páginas falsas que solicitam o envio de SMS para ‘confirmar que são humanos’, resultando em cobranças de até $30 por até 60 mensagens enviadas a 15 números diferentes. A campanha também se aproveita de cookies para rastrear o progresso dos usuários e utiliza técnicas de redirecionamento para manter as vítimas presas em um ciclo de navegação. Essa operação prejudica tanto os indivíduos, que enfrentam cobranças inesperadas, quanto as operadoras de telecomunicações, que arcam com as perdas decorrentes de disputas de clientes.

Como assistir Kayo Sports fora da Austrália transmita de qualquer lugar com VPN

O Kayo Sports é um serviço de streaming australiano que oferece mais de 50 esportes ao vivo e sob demanda, sendo considerado o ‘Netflix dos esportes’ na Austrália. No entanto, o acesso ao Kayo é restrito geograficamente, o que significa que usuários fora da Austrália não conseguem acessar seu conteúdo devido a acordos de licenciamento. Para contornar essa limitação, é recomendado o uso de uma VPN, como a NordVPN, que permite desbloquear o serviço e assistir normalmente de qualquer lugar do mundo. Para começar a usar o Kayo, é necessário criar uma conta no site oficial, o que requer um número de telefone australiano. O serviço oferece uma opção gratuita, Kayo Freebies, além de planos pagos que variam de $29,99 a $45,99 por mês, com uma avaliação gratuita de 7 dias disponível apenas para usuários com IP australiano. O Kayo Sports cobre uma ampla gama de esportes, incluindo críquete, F1, basquete, golfe e muito mais, mas não inclui algumas competições populares como a Premier League de futebol. O serviço é compatível com diversos dispositivos, incluindo smartphones, consoles de jogos e smart TVs.

O que são pixels de rastreamento e por que são preocupantes

Os pixels de rastreamento são pequenos códigos invisíveis embutidos em sites, e-mails e anúncios que coletam dados sobre o comportamento dos usuários na internet. Embora sua principal função seja ajudar empresas a direcionar publicidades de forma mais eficaz, sua utilização levanta sérias preocupações sobre a privacidade dos indivíduos. Recentemente, empresas como Meta e TikTok foram acusadas de coletar dados além do consentimento dos usuários, incluindo informações sensíveis como números de cartões de crédito e geolocalização, mesmo quando o usuário se opõe ao compartilhamento de dados. Essa prática, que envolve a injeção de scripts maliciosos, é um exemplo claro de como a coleta de dados pode ultrapassar limites éticos e legais. Além disso, a diferença entre pixels de rastreamento e cookies é importante: enquanto os pixels enviam dados diretamente para servidores, os cookies armazenam informações no navegador do usuário. A coleta não consentida de dados é uma violação da Lei Geral de Proteção de Dados (LGPD) no Brasil, o que torna a questão ainda mais crítica para as empresas que operam no país. Para se proteger, os usuários devem estar atentos aos banners de consentimento e considerar o uso de ferramentas que bloqueiem rastreadores.

Itron revela acesso não autorizado a sistemas internos em ciberataque

A empresa de tecnologia para utilidades Itron, Inc. confirmou que um terceiro não autorizado acessou alguns de seus sistemas internos durante um ciberataque. A detecção da atividade ocorreu em abril de 2026, levando a empresa a ativar seu plano de resposta a incidentes de cibersegurança, notificar as autoridades policiais e envolver consultores externos para investigar e conter a situação. A Itron, que fornece produtos e serviços para gestão de recursos de energia e água, afirmou que a atividade não causou interrupções significativas em suas operações e que não espera impactos futuros. A empresa também indicou que a maioria dos custos relacionados ao incidente deverá ser coberta por seguros. Embora a investigação ainda esteja em andamento, a Itron assegurou que a atividade não afetou seus clientes. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque. A empresa, com sede em Washington, é listada na NASDAQ e atende a 7.700 clientes em 100 países, gerenciando 112 milhões de pontos finais.

Quem é o LAPSUS e por que é um dos grupos hackers mais temidos

O LAPSUS$ é um grupo de hackers que ganhou notoriedade internacional desde 2020, especialmente por seus ataques a grandes empresas de tecnologia, como Microsoft e Nvidia. Com uma abordagem agressiva, o grupo se destaca por roubar códigos-fonte e dados sensíveis, utilizando táticas de engenharia social para obter acesso legítimo aos sistemas das vítimas. Em 2022, o LAPSUS$ invadiu a Microsoft, acessando 37 GB de dados, e a Nvidia, de onde extraiu 1 TB de informações. O grupo também atacou o Ministério da Saúde do Brasil em 2021, comprometendo dados relacionados à vacinação contra a Covid-19. A maioria dos membros do LAPSUS$ é composta por adolescentes, o que surpreendeu as autoridades durante as investigações. Apesar de algumas prisões e esforços para desmantelar a organização, o LAPSUS$ continua ativo, como evidenciado pelo recente ataque à AstraZeneca, onde 3 GB de dados foram roubados. As empresas devem redobrar a atenção em suas práticas de segurança, especialmente em relação à proteção de credenciais e à mitigação de riscos associados à engenharia social.

Grupo de ameaças UNC6692 utiliza engenharia social para roubo de dados

O grupo de ameaças conhecido como UNC6692 tem utilizado táticas de engenharia social para implantar uma nova suíte de malware chamada “Snow”, que inclui uma extensão de navegador, um tunneler e um backdoor. O objetivo principal é roubar dados sensíveis após comprometer profundamente a rede, utilizando técnicas de roubo de credenciais e tomada de domínio. Pesquisadores da Mandiant, da Google, relataram que os atacantes empregam táticas de “email bombing” para criar um senso de urgência, contatando as vítimas via Microsoft Teams, se passando por agentes de suporte de TI.

CISA adiciona novas vulnerabilidades críticas ao catálogo de ameaças

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o software SimpleHelp, o servidor Samsung MagicINFO 9 e os roteadores D-Link DIR-823X. As falhas, que apresentam pontuações CVSS variando de 7.2 a 9.9, permitem que atacantes escalem privilégios, executem comandos arbitrários e realizem uploads de arquivos maliciosos. A vulnerabilidade CVE-2024-57726, por exemplo, permite que técnicos com baixos privilégios criem chaves de API com permissões excessivas, enquanto a CVE-2024-57728 possibilita o upload de arquivos em locais não autorizados, potencialmente executando código malicioso. Além disso, a CVE-2024-7399 no Samsung MagicINFO 9 Server e a CVE-2025-29635 nos roteadores D-Link também foram identificadas como vetores de ataque ativos, com ligações a campanhas de ransomware e botnets, como a Mirai. A CISA recomenda que as agências federais apliquem correções ou descontinuem o uso dos dispositivos afetados até 8 de maio de 2026 para mitigar os riscos.

Malware Lua descoberto pode ter precedido Stuxnet e ameaçado segurança

Pesquisadores de cibersegurança da SentinelOne descobriram um novo malware baseado em Lua, denominado fast16, que remonta a 2005, antes do famoso worm Stuxnet. Este malware foi projetado para sabotar programas de cálculo de alta precisão, introduzindo erros sistemáticos em cálculos físicos, o que poderia comprometer pesquisas científicas e sistemas de engenharia. O fast16 combina um módulo de carregamento adaptável com um driver de kernel que altera a execução de código, visando especificamente softwares utilizados em engenharia civil e simulações físicas. A análise revelou que o malware poderia se propagar em redes vulneráveis, explorando credenciais fracas. O fast16 é considerado o primeiro malware do Windows a incorporar um motor Lua, e sua descoberta sugere que operações de sabotagem cibernética já estavam em desenvolvimento antes de Stuxnet. Essa revelação força uma reavaliação da linha do tempo das operações de sabotagem cibernética apoiadas por estados, especialmente em relação ao programa nuclear do Irã, que já foi alvo de ataques cibernéticos anteriores. A presença de referências a ferramentas de ataque associadas à NSA também levanta questões sobre a origem e o propósito desse malware.

ADT confirma vazamento de dados após ataque do grupo ShinyHunters

A gigante de segurança residencial ADT confirmou um vazamento de dados após o grupo de extorsão ShinyHunters ameaçar divulgar informações roubadas caso um resgate não fosse pago. A empresa detectou acesso não autorizado a dados de clientes e potenciais clientes em 20 de abril, encerrando a intrusão e iniciando uma investigação. Os dados comprometidos incluem nomes, números de telefone e endereços, com um pequeno percentual de casos envolvendo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. Importante ressaltar que informações de pagamento, como contas bancárias ou cartões de crédito, não foram acessadas, e os sistemas de segurança dos clientes não foram comprometidos. O grupo ShinyHunters alegou ter roubado 10 milhões de registros e utilizou um ataque de phishing por voz (vishing) para comprometer a conta de um funcionário da ADT. Este incidente destaca a crescente ameaça de ataques direcionados a contas de acesso único (SSO) em empresas, com implicações significativas para a segurança de dados e a conformidade com a LGPD no Brasil.

Fim da criptografia? Riscos da era quântica para a cibersegurança

O avanço da computação quântica representa um desafio significativo para a cibersegurança, colocando em risco a eficácia da criptografia tradicional que protege dados sensíveis, como senhas e informações bancárias. Especialistas do CESAR e do Banco do Brasil discutiram esses riscos em um evento recente, destacando que a computação quântica pode tornar obsoletos algoritmos como RSA e ECC, que são fundamentais para a segurança digital atual. A expectativa é que, até 2029, a computação quântica atinja um nível de maturidade capaz de comprometer protocolos de segurança em larga escala. Um dos pontos críticos abordados foi o ataque HNDL, onde dados são coletados hoje para serem decifrados futuramente, quando a tecnologia quântica estiver plenamente desenvolvida. Além dos riscos, os especialistas também discutiram as oportunidades que a computação quântica pode trazer, como a melhoria na eficiência de processos de inteligência artificial. O debate ressaltou a importância de uma transição para modelos de segurança ‘Quantum-Safe’ e a necessidade urgente de formação de profissionais capacitados nessa nova interface entre física e computação.

Microsoft implementa suporte a chaves de acesso para autenticação sem senha

A Microsoft anunciou que, a partir do final de abril, começará a implementar o suporte a chaves de acesso para autenticação sem senha e resistente a phishing em recursos protegidos pelo Microsoft Entra em dispositivos Windows. A funcionalidade deve estar disponível para o público geral até junho de 2026 e se estenderá a dispositivos Windows não gerenciados. As chaves de acesso permitirão que usuários criem chaves vinculadas ao dispositivo, armazenadas no contêiner do Windows Hello, e autentiquem-se usando métodos como reconhecimento facial, impressão digital ou PIN. Isso visa fortalecer a segurança e reduzir a dependência de senhas em cenários que envolvem dispositivos corporativos, pessoais e compartilhados. A nova funcionalidade estará disponível para organizações que habilitarem o ‘Microsoft Entra ID com chaves de acesso’ nas políticas de métodos de autenticação, desde que as políticas de Acesso Condicional permitam. As chaves de acesso são criptograficamente vinculadas a cada dispositivo e não são transmitidas pela rede, o que dificulta a ação de atacantes em casos de phishing ou malware. Essa atualização surge em um contexto de crescente ataque a contas de SSO do Microsoft Entra, evidenciando a necessidade de medidas de segurança mais robustas.

Grupo de hackers BlackFile realiza ataques de extorsão a empresas

Um novo grupo de hackers, conhecido como BlackFile, tem sido associado a uma série de ataques de roubo de dados e extorsão direcionados a organizações de varejo e hospitalidade desde fevereiro de 2026. O grupo, que também é rastreado como CL-CRI-1116 e UNC6671, utiliza técnicas de engenharia social, como o vishing, para se passar por funcionários de suporte técnico e obter credenciais de funcionários. Os ataques começam com ligações de números falsificados, levando os funcionários a páginas de login falsas onde são solicitadas suas credenciais e códigos de acesso temporários.

Microsoft melhora controle de atualizações no Windows

A Microsoft está implementando melhorias nas atualizações do Windows, oferecendo aos usuários maior controle sobre a instalação de atualizações e reduzindo interrupções causadas por reinicializações frequentes. As mudanças, que estão sendo disponibilizadas para os Windows Insiders, surgem em resposta a feedbacks que destacaram problemas como a interrupção de fluxos de trabalho e a falta de controle sobre o momento das atualizações. Entre as novas funcionalidades, destaca-se a possibilidade de pausar atualizações por até 35 dias, com a opção de escolher uma data específica para isso. Além disso, o menu de energia agora separa as opções de desligamento e reinicialização das ações relacionadas a atualizações, permitindo que os usuários desliguem ou reiniciem seus dispositivos sem que atualizações sejam instaladas. A Microsoft também está tornando mais claro quais drivers estão sendo oferecidos nas atualizações, identificando o tipo de dispositivo diretamente no título da atualização. Por fim, a empresa está consolidando diferentes tipos de atualizações em uma única reinicialização mensal, o que deve diminuir a frequência de reboots necessários. Essas melhorias visam proporcionar uma experiência de usuário mais fluida e menos intrusiva, mantendo a segurança dos dispositivos.

Agências de Cibersegurança Alertam sobre Malware Firestarter em Dispositivos Cisco

Agências de cibersegurança dos EUA e do Reino Unido emitiram um alerta sobre um malware personalizado chamado Firestarter, que persiste em dispositivos Cisco Firepower e Secure Firewall que utilizam o software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD). O malware, atribuído a um ator de ameaças conhecido como UAT-4356, é utilizado em campanhas de ciberespionagem e permite acesso remoto contínuo mesmo após a aplicação de patches. A vulnerabilidade inicial explorada foi identificada como CVE-2025-20333, relacionada a uma falha de autorização, e CVE-2025-20362, um bug de estouro de buffer.

Dispositivo da Cisco é comprometido por malware FIRESTARTER

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que um dispositivo Cisco Firepower de uma agência federal foi comprometido em setembro de 2025 por um malware chamado FIRESTARTER. Este malware é considerado uma backdoor que permite acesso remoto e controle, sendo parte de uma campanha de um ator de ameaça persistente avançada (APT). O ataque explorou vulnerabilidades críticas, como CVE-2025-20333 e CVE-2025-20362, que já foram corrigidas, mas dispositivos comprometidos antes da aplicação dos patches permanecem vulneráveis. O FIRESTARTER pode persistir mesmo após atualizações de firmware, manipulando a sequência de inicialização do dispositivo. Além disso, um kit de ferramentas pós-exploração chamado LINE VIPER foi utilizado para executar comandos e capturar pacotes. A Cisco recomenda a reimagens dos dispositivos afetados para remover completamente o malware. O incidente destaca a crescente complexidade das redes de ataque, especialmente com a utilização de dispositivos IoT e roteadores comprometidos por grupos patrocinados pelo estado, como os hackers chineses. Isso levanta preocupações sobre a segurança de infraestruturas críticas e a necessidade de vigilância constante.

Golpes invisíveis com Pix e QR Code como se proteger

O sistema de pagamentos instantâneos Pix, amplamente utilizado no Brasil, tem sido alvo de diversos golpes que exploram a pressa e a confiança dos usuários. Os criminosos utilizam QR codes adulterados, que podem ser colados sobre códigos legítimos em lojas, ou enviam links de pagamento via mensagens, muitas vezes com urgência, para induzir a transferência de valores. A engenharia social é uma tática comum, onde golpistas se passam por conhecidos ou representantes de empresas, criando histórias convincentes para justificar a solicitação de um Pix. Para evitar cair nesses golpes, é fundamental verificar sempre o nome e o CPF ou CNPJ do recebedor, além de confirmar o valor da transação. Caso a vítima caia em um golpe, o Banco Central recomenda que a pessoa entre em contato com o banco imediatamente e registre a ocorrência, pois há mecanismos para tentar recuperar o valor perdido. A conscientização e a cautela são essenciais para garantir a segurança nas transações financeiras digitais.

Falha oculta em SIM permite rastreamento de localização por espiões

Pesquisadores do Citizen Lab revelaram que dois grupos de vigilância estão explorando falhas na infraestrutura global de telecomunicações para rastrear a localização de usuários de celulares. Os ataques utilizam sistemas de sinalização, como SS7 e Diameter, que são essenciais para a comunicação entre operadoras. A primeira campanha visou um alvo de alto perfil, enquanto a segunda enviou mensagens SMS invisíveis que coletavam informações de localização sem o conhecimento do usuário. O mais alarmante é que esses ataques não dependem de malware ou ações do usuário, podendo ser realizados simplesmente comprometendo a rede móvel. Além disso, o uso de VPNs não oferece proteção contra esses tipos de rastreamento, pois os ataques operam em um nível diferente da conexão de internet. Embora esses ataques pareçam direcionados a indivíduos de alto perfil, a falta de medidas de proteção efetivas para o público em geral levanta preocupações sobre a segurança das comunicações móveis. Para indivíduos em risco, a única solução viável é desativar as conexões celulares e usar apenas Wi-Fi.

Mais de 10 mil instâncias do Zimbra vulneráveis a ataques em andamento

Mais de 10.000 instâncias do Zimbra Collaboration Suite (ZCS) estão expostas online e vulneráveis a ataques que exploram uma falha de segurança de cross-site scripting (XSS), conforme relatado pela organização de segurança sem fins lucrativos Shadowserver. O Zimbra é um software de e-mail e colaboração amplamente utilizado, incluindo por diversas agências governamentais e empresas ao redor do mundo. A vulnerabilidade, identificada como CVE-2025-48700, afeta as versões 8.8.15, 9.0, 10.0 e 10.1 do ZCS, permitindo que atacantes não autenticados acessem informações sensíveis ao executar JavaScript arbitrário na sessão do usuário. A Synacor, responsável pelo Zimbra, lançou patches de segurança em junho de 2025, alertando que a exploração da falha não requer interação do usuário e pode ser ativada ao visualizar um e-mail malicioso. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu a CVE-2025-48700 em seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que agências federais protejam seus servidores Zimbra em um prazo de três dias. A maioria dos servidores vulneráveis está localizada na Ásia e na Europa, com um número significativo ainda sem correção. Além disso, a exploração de falhas do Zimbra tem sido uma tática comum em ataques cibernéticos, incluindo campanhas de phishing direcionadas a entidades governamentais ucranianas.

A nova regulamentação DORA e a segurança de credenciais financeiras

O artigo de Eirik Salmi destaca a crescente preocupação com a segurança das credenciais em instituições financeiras, especialmente após a implementação do Digital Operational Resilience Act (DORA) na União Europeia. De acordo com o relatório da IBM sobre o custo de vazamentos de dados, os atacantes podem permanecer em redes por uma média de 186 dias antes de serem detectados, causando danos operacionais significativos. O DORA, que entrou em vigor em 17 de janeiro de 2025, estabelece que a segurança das credenciais é uma obrigação legal, exigindo autenticação forte e acesso com privilégios mínimos. O artigo detalha os requisitos do Artigo 9 do DORA, que inclui a implementação de políticas de autenticação robustas e a gestão de chaves criptográficas. Além disso, enfatiza a importância de ferramentas de gerenciamento de acesso privilegiado (PAM) e a necessidade de proteger não apenas as credenciais internas, mas também as de fornecedores terceirizados, como evidenciado pelo ataque à Santander em 2024. O artigo conclui que a conformidade com o DORA é crucial para a continuidade operacional e a mitigação de riscos regulatórios.

Espionagem cibernética nacional chinês finge ser pesquisador dos EUA

O Escritório do Inspetor Geral (OIG) da NASA revelou um caso de espionagem cibernética onde um cidadão chinês, Song Wu, se fez passar por pesquisador americano para obter informações sensíveis da agência espacial, além de universidades e empresas privadas. A campanha de spear-phishing, que ocorreu entre janeiro de 2017 e dezembro de 2021, visou dezenas de professores e engenheiros dos EUA, incluindo funcionários da NASA e das Forças Armadas. Song, que trabalhava para a Aviation Industry Corporation of China (AVIC), utilizou táticas de engenharia social para se infiltrar em redes de pesquisa, solicitando software de modelagem usado em design aeroespacial e desenvolvimento de armamentos. O OIG destacou que muitos dos alvos não perceberam que estavam violando leis de controle de exportação ao compartilhar informações com contas falsas gerenciadas por Song. Ele foi indiciado por fraude eletrônica e roubo de identidade, enfrentando até 20 anos de prisão por cada acusação. O FBI incluiu Song na lista dos mais procurados, alertando que o software obtido poderia ter aplicações militares e industriais. O OIG também alertou sobre sinais comuns de fraudes de exportação que podem ajudar a identificar campanhas de phishing.

Vulnerabilidade crítica no LMDeploy é explorada em menos de 13 horas

Uma vulnerabilidade de alta severidade foi identificada no LMDeploy, um toolkit de código aberto para compressão e implantação de modelos de linguagem, e já está sendo ativamente explorada. A falha, classificada como CVE-2026-33626 com um score CVSS de 7.5, refere-se a uma vulnerabilidade de Server-Side Request Forgery (SSRF) que permite o acesso a dados sensíveis. O problema reside na função load_image() que não valida endereços IP internos, possibilitando que atacantes acessem serviços de metadados em nuvem e redes internas. A exploração bem-sucedida pode permitir o roubo de credenciais de nuvem e a movimentação lateral em redes internas. A empresa Sysdig detectou a primeira tentativa de exploração em um sistema honeypot apenas 12 horas após a divulgação da vulnerabilidade, com o atacante realizando uma varredura de portas em serviços internos. Este incidente destaca a rapidez com que as vulnerabilidades estão sendo exploradas, especialmente em um contexto onde a inteligência artificial está acelerando a criação de exploits. Além disso, outras vulnerabilidades em plugins do WordPress e dispositivos Modbus também estão sendo alvo de ataques, evidenciando um cenário de ameaças em expansão.

Campanha de malware visa usuários de língua chinesa com PDF trojanizado

Uma nova campanha de cibersegurança está direcionando usuários de língua chinesa, utilizando uma versão trojanizada do leitor SumatraPDF para implantar o agente AdaptixC2 Beacon. A Zscaler ThreatLabz, que identificou a campanha, atribui-a com alta confiança ao grupo de hackers Tropic Trooper, ativo desde 2011 e conhecido por atacar entidades em Taiwan, Hong Kong e Filipinas. O ataque começa com um arquivo ZIP contendo documentos com temas militares que, ao serem abertos, lançam o SumatraPDF modificado. Este executável exibe um PDF falso enquanto busca código shell criptografado de um servidor de preparação, ativando o AdaptixC2 Beacon. O loader, uma variante do malware Xiangoop, é responsável por iniciar um ataque em múltiplas etapas, utilizando o GitHub como plataforma de comando e controle. Quando a vítima é considerada valiosa, o ator da ameaça instala o Visual Studio Code e configura túneis para acesso remoto. O servidor de preparação também foi observado hospedando um Cobalt Strike Beacon e um backdoor chamado EntryShell, ambos utilizados anteriormente pelo Tropic Trooper. Essa campanha representa uma ameaça significativa, especialmente para indivíduos e organizações na região asiática.

Roteadores D-Link vulneráveis a ataque de hackers

Uma nova variante do malware Mirai está ameaçando roteadores D-Link da série DIR-823-X, permitindo que hackers assumam o controle dos dispositivos sem aviso. A vulnerabilidade, identificada pela empresa de segurança Akamai, foi detectada pela primeira vez em março de 2026 e se baseia em uma injeção de comandos que foi descoberta há 13 meses. Os pesquisadores Wang Jinshuai e Zhao Jiangting publicaram uma prova de conceito da falha, que posteriormente foi removida. As versões de firmware 240126 e 24082 estão especialmente vulneráveis, permitindo a execução de comandos remotos não autorizados. O ataque ocorre quando pedidos manipulados são enviados a um ponto de acesso vulnerável, resultando na instalação do malware tuxnokill, que transforma o roteador em um botnet para ataques DDoS. A D-Link não oferece mais suporte para esses modelos desde novembro de 2024, tornando a situação ainda mais crítica. Especialistas recomendam a substituição dos roteadores antigos ou, se isso não for possível, a desativação do acesso remoto e a mudança de senhas padrão.

Google utiliza IA para automatizar segurança e prevenir ataques cibernéticos

Durante o Google Cloud Next 2026, a gigante da tecnologia apresentou inovações na aplicação de inteligência artificial (IA) para a segurança digital. A aquisição da Wiz, uma empresa de segurança em nuvem, por US$ 32 bilhões, destaca a importância da automação na identificação e resposta a riscos em ambientes complexos. Yinon Costica, cofundador da Wiz, e Francis deSouza, COO do Google Cloud, discutiram como agentes de IA estão sendo utilizados para automatizar processos que antes eram manuais, como a descoberta de vulnerabilidades e a resposta a incidentes. A automação permite que as empresas lidem com um volume maior de riscos sem a necessidade de expandir suas equipes. Além disso, a integração de soluções em ambientes multicloud apresenta novos desafios, exigindo visibilidade e controle em múltiplas plataformas. A IA não apenas identifica problemas, mas também pode iniciar correções, acelerando o tempo de resposta. A capacidade das empresas de usar seu próprio contexto para antecipar ameaças é vista como uma vantagem estratégica. Com a evolução da IA, a segurança digital se torna um processo contínuo e integrado às operações de negócios, ressaltando que a proteção de sistemas e dados é essencial para a estratégia empresarial.

Ataques de ransomware Trigona usam ferramenta personalizada para roubo de dados

Recentemente, ataques de ransomware Trigona têm utilizado uma ferramenta personalizada chamada ‘uploader_client.exe’ para exfiltração de dados em ambientes comprometidos. Essa ferramenta, que se conecta a um servidor com endereço fixo, foi projetada para operar de forma mais eficiente e rápida, permitindo até cinco conexões simultâneas por arquivo e rotacionando conexões TCP após 2GB de tráfego, a fim de evitar a detecção. Além disso, ela permite a exfiltração seletiva de tipos de arquivos, excluindo mídias de baixo valor. Os ataques, que começaram em outubro de 2022, exigem pagamentos em criptomoeda Monero e, apesar de uma interrupção temporária em outubro de 2023 por ativistas cibernéticos ucranianos, os operadores do ransomware parecem ter retomado suas atividades. A Symantec, que analisou esses ataques, observou que os invasores instalam ferramentas como HRSword para desativar produtos de segurança e utilizam programas como AnyDesk para acesso remoto. A empresa também disponibilizou indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio dessas ameaças.

Bitwarden CLI comprometido em ataque à cadeia de suprimentos

Recentemente, o Bitwarden confirmou que seu pacote CLI no npm foi comprometido por um ataque que resultou na distribuição de uma versão maliciosa (2026.4.0) entre 22 de abril de 2026, das 17h57 às 19h30 ET. O ataque, que utilizou um GitHub Action comprometido, injetou um código malicioso que coletava credenciais sensíveis, como tokens do npm e chaves SSH, de sistemas infectados. O malware, que se autopropraga, armazenava dados coletados em repositórios públicos no GitHub da vítima, utilizando uma string de referência a ataques anteriores. O Bitwarden assegurou que não houve acesso aos dados dos usuários finais e que as medidas corretivas foram tomadas imediatamente após a detecção do problema. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento, especialmente em CI/CD, onde as credenciais podem ser reutilizadas para expandir ataques. Desenvolvedores que instalaram a versão afetada devem considerar suas credenciais como comprometidas e realizar a rotação imediata das mesmas.

Grupo UNC6692 usa engenharia social via Teams para implantar malware

Um novo grupo de ameaças cibernéticas, identificado como UNC6692, tem utilizado táticas de engenharia social através do Microsoft Teams para implantar uma suíte de malware em sistemas comprometidos. Segundo um relatório da Mandiant, o grupo se aproveita da confiança dos usuários ao se passar por funcionários de suporte técnico, convencendo as vítimas a aceitarem convites de chat de contas externas. A campanha inclui um bombardeio de e-mails de spam, criando uma falsa urgência que leva os alvos a buscar ajuda. O ataque é direcionado principalmente a executivos e funcionários de alto escalão, visando acesso inicial a redes corporativas para roubo de dados e movimentação lateral. O método envolve o uso de um link de phishing que leva ao download de um script malicioso, que instala uma extensão de navegador chamada SNOWBELT, permitindo ao atacante executar comandos remotamente. A Mandiant destaca que essa abordagem combina a exploração de serviços em nuvem legítimos para entrega de payloads e exfiltração de dados, o que dificulta a detecção por filtros de segurança tradicionais. A situação é preocupante, pois demonstra uma evolução nas táticas de ataque, com um foco crescente em alvos de alto valor dentro das organizações.

Maior botnet cresce dez vezes em um ano, sinalizando riscos de DDoS

Um novo relatório da Qrator Labs revela que a maior botnet já registrada cresceu de 1,33 milhão para 13,5 milhões de dispositivos infectados em apenas um ano, um aumento alarmante de dez vezes. A maioria dos dispositivos comprometidos está localizada nos Estados Unidos, Brasil e Índia, dificultando a eficácia de bloqueios baseados em país. Um dos ataques DDoS mais significativos, com pico de 2Tbps, ocorreu no primeiro trimestre de 2026, visando uma organização do setor de apostas e durou mais de 40 minutos, com múltiplos picos de intensidade. Os pesquisadores notaram uma mudança nas táticas dos atacantes, que agora utilizam métodos multi-vetoriais, combinando tráfego de rede e de aplicação. Além disso, um novo loader de botnet, conhecido como Aeternum C2, utiliza a blockchain Polygon para suas operações, tornando a desativação mais complexa. O aumento de tráfego automatizado e ataques prolongados, como um que durou mais de duas semanas contra um alvo de e-commerce, também foram observados, destacando a evolução das ameaças cibernéticas.

Hackers ligados à China usam redes de dispositivos comprometidos

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC-UK) e parceiros internacionais alertaram que hackers associados à China estão utilizando redes de proxy em larga escala formadas por dispositivos de consumo sequestrados para evitar detecções e disfarçar suas atividades maliciosas. O aviso conjunto, assinado por agências de países como EUA, Austrália e Canadá, destaca que muitos grupos de hackers chineses mudaram de infraestrutura individual para vastas botnets compostas principalmente por roteadores de pequenas empresas e residências, além de câmeras conectadas à internet e dispositivos de armazenamento em rede (NAS). Essas botnets permitem que os atacantes redirecionem o tráfego através de dispositivos comprometidos, dificultando a detecção geográfica. Um exemplo é a botnet Raptor Train, que infectou mais de 260 mil dispositivos em 2024 e foi associada ao grupo de hackers Flax Typhoon, apoiado pelo estado chinês. O FBI conseguiu interromper essa botnet, mas os hackers continuam a reviver redes como a KV-Botnet, que utiliza roteadores vulneráveis. As agências de inteligência ocidentais alertam que as defesas tradicionais estão se tornando menos eficazes e recomendam a implementação de autenticação multifatorial e monitoramento dinâmico de ameaças.

Ataques a senhas como a engenharia social compromete a segurança

Um estudo da Forrester estima que cada redefinição de senha custa cerca de $70, o que torna esse processo um dos pedidos mais comuns ao suporte técnico. Muitas organizações implementaram ferramentas de redefinição de senha autônoma (SSPR) para aliviar essa carga, mas ainda assim, as equipes de suporte lidam com um número significativo de solicitações. Os ataques de engenharia social, como o ocorrido com a Marks & Spencer em abril de 2025, demonstram como a redefinição de senha pode ser um alvo fácil para atacantes. Neste caso, os invasores se passaram por um funcionário da empresa e conseguiram redefinir uma senha, obtendo credenciais legítimas e acessando o Active Directory. A partir daí, eles extraíram dados sensíveis e implantaram ransomware, resultando em perdas significativas. Para mitigar esses riscos, recomenda-se a adoção de práticas como a verificação rigorosa da identidade do usuário, o uso de credenciais temporárias seguras e o monitoramento das atividades de redefinição de senha. Ferramentas como o Specops Secure Service Desk podem ajudar a fortalecer esse processo, garantindo que a verificação de identidade não dependa apenas de informações que podem ser facilmente obtidas ou adivinhadas.

Rituals revela violação de dados de clientes em seu programa de fidelidade

A gigante de cosméticos holandesa Rituals anunciou uma violação de dados após atacantes acessarem informações pessoais de clientes de sua base de dados do programa de fidelidade ‘My Rituals’. O incidente foi descoberto no início deste mês, quando a empresa foi alertada sobre downloads não autorizados de dados de membros. Rituals informou que notificou as autoridades competentes e conseguiu conter a violação, bloqueando o acesso dos atacantes. A empresa afirmou que os dados comprometidos podem incluir nome completo, e-mail, telefone, data de nascimento, gênero e endereço residencial, mas garantiu que senhas e informações de pagamento não foram acessadas. A investigação forense está em andamento para entender as circunstâncias do ataque e prevenir futuros incidentes. Embora o número exato de clientes afetados não tenha sido divulgado, o programa ‘My Rituals’ conta com mais de 41 milhões de membros. A empresa também notificou alguns clientes nos Estados Unidos sobre a violação. Até o momento, não há evidências de que as informações roubadas tenham sido divulgadas online.

Hackers comprometem imagens Docker e extensões do Checkmarx KICS

Recentemente, hackers comprometeram imagens Docker e extensões do Visual Studio Code (VSCode) e Open VSX do Checkmarx KICS, uma ferramenta de análise de segurança de código. O KICS, que é um scanner de código aberto, ajuda desenvolvedores a identificar vulnerabilidades em código-fonte e configurações. A investigação da empresa Socket revelou que a violação se estendeu para além da imagem Docker do KICS, incluindo extensões que baixavam um recurso oculto chamado ‘MCP addon’, projetado para instalar malware que rouba dados. Este malware visa informações sensíveis processadas pelo KICS, como tokens do GitHub, credenciais de nuvem e variáveis de ambiente, criptografando e exfiltrando esses dados para um domínio que se passa por infraestrutura legítima do Checkmarx. O ataque ocorreu em um intervalo específico, e os desenvolvedores que baixaram as versões comprometidas devem considerar suas credenciais comprometidas e tomar medidas imediatas para mitigar os riscos. A Checkmarx já removeu os artefatos maliciosos e está investigando o incidente com a ajuda de especialistas externos.

Projeto Glasswing IA revela vulnerabilidades críticas em software

Recentemente, a Anthropic anunciou o Projeto Glasswing, um modelo de IA capaz de identificar vulnerabilidades em softwares com uma eficácia sem precedentes. A empresa decidiu adiar o lançamento público do modelo, concedendo acesso apenas a gigantes como Apple, Microsoft, Google e Amazon, para que pudessem corrigir falhas antes que adversários as explorassem. O modelo Mythos, precursor do Glasswing, descobriu vulnerabilidades em todos os principais sistemas operacionais e navegadores, incluindo uma falha que permaneceu oculta por 27 anos no OpenBSD. Apesar da eficácia na descoberta, menos de 1% das vulnerabilidades encontradas foram corrigidas, evidenciando uma lacuna crítica na capacidade de remediação do setor de cibersegurança. Os defensores, que operam em um ritmo mais lento, não conseguem acompanhar a velocidade dos atacantes, que agora utilizam IA para automatizar suas operações. O artigo destaca a necessidade urgente de que as organizações adotem programas de segurança que possam processar rapidamente as vulnerabilidades encontradas, priorizando a validação em tempo real e a remediação sem intervenções manuais. Essa mudança é crucial para enfrentar a crescente ameaça de ataques autônomos baseados em IA.

A janela de exploração em colapso como a IA transforma a cibersegurança

O artigo destaca a crescente ameaça de ataques cibernéticos impulsionados por inteligência artificial (IA), que estão se tornando mais rápidos e automatizados. A chamada ‘janela de exploração em colapso’ refere-se ao tempo cada vez menor que as organizações têm para corrigir vulnerabilidades antes que sejam exploradas por hackers. A abordagem tradicional de gerenciamento de vulnerabilidades, que depende de atualizações manuais, já não é suficiente para enfrentar essa nova realidade. O webinar promovido por Ofer Gayer, vice-presidente de produto da Miggo Security, visa fornecer insights sobre como as empresas podem se adaptar a essa nova dinâmica, priorizando riscos de forma mais eficaz e implementando soluções como o ‘patching virtual’. O público-alvo inclui CISOs, líderes de segurança de aplicativos e arquitetos de segurança, que precisam urgentemente repensar suas estratégias de defesa para proteger suas organizações contra ataques automatizados.

Incidentes de Cibersegurança Ataques e Vulnerabilidades em Alta

O cenário de cibersegurança continua a ser alarmante, com uma série de incidentes recentes que destacam a vulnerabilidade das infraestruturas digitais. Um dos principais eventos foi o roubo de criptomoedas de $290 milhões do projeto KelpDAO, supostamente orquestrado por atores de ameaças da Coreia do Norte, que comprometeram a infraestrutura de comunicação do LayerZero. Além disso, falhas críticas em plataformas de automação residencial, como MajorDoMo, estão sendo ativamente exploradas, com vulnerabilidades que permitem execução remota de código e injeção de backdoors.

Agência de segurança do Reino Unido declara que passkeys são superiores a senhas

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) declarou oficialmente que os passkeys são uma alternativa superior às senhas tradicionais para autenticação. Os passkeys utilizam chaves criptográficas armazenadas no dispositivo, frequentemente desbloqueadas por biometria, oferecendo maior segurança do que senhas fortes com verificação em duas etapas. A adoção dessa tecnologia já está em andamento, com mais de 50% dos usuários ativos de serviços do Google no Reino Unido tendo um passkey registrado. O NCSC enfatiza que, devido aos avanços na implementação, os passkeys devem ser a primeira escolha dos consumidores para login em serviços digitais. Essa mudança visa simplificar a experiência do usuário e aumentar a segurança, eliminando a necessidade de lembrar senhas complexas. A tecnologia de passkeys, introduzida em 2022, agora é recomendada sem reservas, refletindo a evolução do setor em direção a métodos de autenticação mais robustos e amigáveis.

Vercel identifica novos casos de contas comprometidas em incidente de segurança

A Vercel, empresa responsável pelo framework Next.js, anunciou a descoberta de um novo conjunto de contas de clientes comprometidas em um incidente de segurança que permitiu acesso não autorizado a seus sistemas internos. A investigação revelou que algumas contas já apresentavam indícios de comprometimento anterior, possivelmente devido a engenharia social ou malware. O ataque inicial foi atribuído a uma violação na Context.ai, que resultou no controle da conta Google Workspace de um funcionário da Vercel, permitindo que o invasor acessasse o ambiente da Vercel. A análise adicional indicou que um funcionário da Context.ai foi infectado pelo malware Lumma Stealer, sugerindo que esse evento pode ter sido o ponto de partida para a cadeia de ações maliciosas. A Vercel notificou os clientes afetados, mas não divulgou o número exato de contas comprometidas. A situação destaca os riscos associados ao uso de integrações OAuth, que, embora úteis, podem ser exploradas por atacantes para evitar controles de segurança. A velocidade e a capacidade dos atacantes de explorar ambientes internos antes da detecção representam um desafio significativo para as equipes de defesa.

Grupo APT GopherWhisper ataca instituições governamentais da Mongólia

Instituições governamentais da Mongólia foram alvo de um novo grupo de ameaças persistentes avançadas (APT) alinhado à China, identificado como GopherWhisper. De acordo com a empresa de cibersegurança ESET, o grupo utiliza uma variedade de ferramentas, principalmente desenvolvidas em Go, para implantar backdoors e realizar comunicação de comando e controle (C&C) através de serviços legítimos como Discord, Slack e Microsoft 365 Outlook. O grupo foi descoberto em janeiro de 2025, após a identificação de um backdoor inédito chamado LaxGopher em um sistema governamental. Além do LaxGopher, o arsenal do grupo inclui outras famílias de malware, como CompactGopher e RatGopher, que realizam coleta e exfiltração de arquivos. A análise da ESET revelou que cerca de 12 sistemas associados a instituições governamentais mongóis foram infectados, com tráfego de C&C indicando várias outras vítimas. A forma como o GopherWhisper obtém acesso inicial às redes ainda não é clara, mas uma vez dentro, o grupo tenta implantar uma gama de ferramentas maliciosas. A pesquisa sugere que o grupo opera durante o horário comercial da China, reforçando a suspeita de sua origem.

Investigação revela 94 fazendas de SIM conectadas a operadoras móveis

Uma investigação realizada pela empresa de cibersegurança Infrawatch revelou a existência de 94 fazendas de SIM em 17 países, conectadas a 35 operadoras móveis, incluindo grandes redes do Reino Unido e dos Estados Unidos. Essas fazendas, que consistem em racks de cartões SIM controlados remotamente, são utilizadas para contornar sistemas de verificação baseados em telefone, como senhas de uso único enviadas por SMS. A infraestrutura é operada por uma empresa baseada na Bielorrússia, chamada ProxySmart, que fornece acesso a serviços de conectividade móvel em várias regiões. A pesquisa destacou que essas fazendas são promovidas em fóruns online e aceitam pagamentos em criptomoedas, dificultando a identificação de usuários maliciosos. A análise técnica revelou que a plataforma ProxySmart permite a rotação automática de IPs e o controle remoto de dispositivos, aumentando a dificuldade de detecção por parte das operadoras. A descoberta de tais operações levanta preocupações sobre a segurança das redes móveis e a exposição de organizações e usuários a fraudes e abusos online. A investigação foi compartilhada com autoridades de segurança antes da publicação, ressaltando a necessidade de ações mais rigorosas contra esse tipo de crime.

Nova operação de ransomware Kyber ataca sistemas Windows e VMware ESXi

Uma nova operação de ransomware chamada Kyber está atacando sistemas Windows e endpoints VMware ESXi, com uma variante utilizando criptografia pós-quântica Kyber1024. A empresa de cibersegurança Rapid7 analisou duas variantes do Kyber em março de 2026, ambas implantadas na mesma rede, sendo uma focada em VMware ESXi e a outra em servidores de arquivos Windows. A variante ESXi é projetada para ambientes VMware, permitindo a criptografia de datastores e a desfiguração de interfaces de gerenciamento. Por outro lado, a variante Windows, escrita em Rust, possui uma funcionalidade experimental para atacar máquinas virtuais Hyper-V. Embora a variante Linux do ransomware afirme usar criptografia pós-quântica, na prática, utiliza ChaCha8 e RSA-4096 para a criptografia de arquivos. Já a variante Windows realmente implementa Kyber1024, mas apenas para proteger chaves simétricas, enquanto a criptografia de dados é realizada pelo AES-CTR. Ambas as variantes visam eliminar caminhos de recuperação de dados, como a exclusão de cópias de sombra e a desativação de serviços de backup. Até o momento, apenas uma vítima foi identificada, um grande contratante de defesa e serviços de TI dos EUA.

Campanha de malware Mirai explora vulnerabilidade em roteadores D-Link

Uma nova campanha de malware baseada no Mirai está explorando a vulnerabilidade de injeção de comando CVE-2025-29635, que afeta roteadores D-Link DIR-823X. Essa falha permite que atacantes executem comandos arbitrários em dispositivos remotos ao enviar uma requisição POST para um endpoint vulnerável, resultando em execução remota de comandos (RCE). A Akamai SIRT, que detectou a campanha em março de 2026, informa que, apesar de a vulnerabilidade ter sido divulgada há 13 meses, esta é a primeira vez que a exploração ativa foi observada. Os atacantes estão utilizando requisições POST para alterar diretórios, baixar um script shell e executá-lo, instalando um malware Mirai chamado ’tuxnokill’, que suporta múltiplas arquiteturas e possui capacidades de ataque DDoS. Além disso, a campanha também explora outras vulnerabilidades em roteadores TP-Link e ZTE. Os dispositivos afetados atingiram o fim de vida útil em novembro de 2024, o que significa que é improvável que a D-Link forneça um patch para corrigir a falha. Usuários de roteadores obsoletos são aconselhados a atualizar para modelos mais novos e seguros.

Novos pacotes npm comprometidos por malware de propagação automática

Pesquisadores de cibersegurança identificaram um novo conjunto de pacotes npm que foram comprometidos para disseminar um worm auto-replicante, utilizando tokens de desenvolvedor roubados. Denominado CanisterSprawl, o malware foi detectado pelas empresas Socket e StepSecurity, que observaram que ele exfiltra dados através de um canister ICP. Os pacotes afetados incluem versões de @automagik/genie, @fairwords/loopback-connector-es, entre outros. O malware é ativado durante a instalação, utilizando um hook postinstall para roubar credenciais e segredos de ambientes de desenvolvimento, que são então usados para enviar versões contaminadas dos pacotes para o registro. Informações capturadas incluem chaves SSH, credenciais de nuvem e arquivos de configuração do Docker, além de tentativas de acessar dados de navegadores e carteiras de criptomoedas. Além disso, a campanha também inclui lógica de propagação para pacotes Python, ampliando ainda mais seu alcance. Este incidente destaca a crescente ameaça aos ecossistemas de código aberto, com ataques direcionados a plataformas como npm e PyPI, e requer atenção imediata dos profissionais de segurança.

Imagens maliciosas comprometem repositório Docker da Checkmarx

Pesquisadores de cibersegurança alertaram sobre a presença de imagens maliciosas no repositório oficial “checkmarx/kics” do Docker Hub. A empresa de segurança da cadeia de suprimentos Socket revelou que atacantes desconhecidos conseguiram sobrescrever tags existentes, como v2.1.20 e alpine, e introduzir uma nova tag v2.1.21 que não corresponde a uma versão oficial. A análise das imagens comprometidas indica que o binário KICS foi modificado para incluir capacidades de coleta e exfiltração de dados, o que representa um risco significativo para equipes que utilizam KICS para escanear arquivos de infraestrutura como código que podem conter credenciais ou dados de configuração sensíveis. Além disso, ferramentas de desenvolvimento da Checkmarx, como extensões recentes do Microsoft Visual Studio Code, também podem ter sido afetadas, permitindo que código malicioso fosse baixado e executado sem confirmação do usuário. Organizações que utilizaram a imagem KICS comprometida devem considerar qualquer segredo ou credencial exposta como potencialmente comprometida. A Socket sugere que este incidente não é isolado, mas parte de uma violação mais ampla da cadeia de suprimentos que afeta vários canais de distribuição da Checkmarx.

Microsoft afirma que seu antivírus é suficiente para bloquear ciberataques

A Microsoft declarou que o Microsoft Defender, antivírus integrado ao Windows 11, é adequado para proteger a maioria dos usuários contra ciberataques. Em um comunicado oficial, a empresa afirmou que, para muitos usuários, o Defender é suficiente para cobrir os riscos diários sem a necessidade de um software antivírus adicional. No entanto, a Microsoft enfatizou que o Defender deve ter a proteção padrão ativada, além de downloads conscientes de software e atualizações regulares do sistema para funcionar de maneira eficaz. Apesar de sua confiança no Defender, a Microsoft reconhece que a adição de um antivírus de terceiros pode ser benéfica, dependendo do uso do PC e das necessidades específicas do usuário, como gerenciamento de múltiplos dispositivos ou controle parental. O Defender é projetado para proteger contra ameaças como phishing e ransomware, mas a empresa também alertou que antivírus adicionais podem sobrecarregar o sistema. A reputação da Microsoft em segurança cibernética é frequentemente questionada, dado o número de malwares que afetam seus sistemas operacionais. Portanto, a escolha de um antivírus adicional deve ser considerada com cautela.

Mercado Anônimo Russo RAMP Um Alvo para Cibercriminosos

O RAMP (Russian Anonymous Marketplace) foi um fórum de cibercrime que operou de 2021 até sua apreensão pelo FBI em janeiro de 2026. Com mais de 7.700 usuários registrados, o fórum facilitava a venda de acessos a redes corporativas, malware e dados roubados, destacando-se pela sua acessibilidade tanto na rede Tor quanto na clearnet. O acesso a redes corporativas era o foco principal, com 333 threads oferecendo pontos de entrada, sendo o RDP (Remote Desktop Protocol) o tipo mais comum. Os Estados Unidos foram o principal alvo, representando 40% das listagens. O fórum também promovia programas de ransomware como serviço (RaaS), com divisões de lucros que chegaram a 90% para os afiliados. A atividade no fórum aumentou 348% em um ano, indicando uma resiliência após ações de law enforcement. O aumento das listagens de acesso VPN reflete uma mudança nas táticas de ataque, especialmente após a divulgação de vulnerabilidades críticas em produtos populares como Cisco e Fortinet. O RAMP exemplifica a crescente complexidade e a interconexão do cibercrime global, exigindo atenção redobrada das organizações, especialmente em setores críticos como governo, finanças e tecnologia.