Cibersegurança

A Microsoft alertou sobre uma campanha de phishing em múltiplas etapas, conhecida como adversário-no-meio (AitM), que está afetando organizações do setor de energia. Os atacantes utilizam serviços de compartilhamento de arquivos do SharePoint para entregar cargas maliciosas, criando regras de caixa de entrada para manter a persistência e evitar a detecção. O ataque começa com um e-mail de phishing, aparentemente enviado de uma organização confiável, que foi comprometida anteriormente. Os criminosos exploram essa confiança para enviar mensagens que imitam fluxos de trabalho de compartilhamento de documentos do SharePoint, induzindo os destinatários a clicarem em links maliciosos. Após a exploração inicial, os atacantes utilizam identidades internas confiáveis para realizar campanhas de phishing em larga escala, enviando mais de 600 e-mails para contatos da vítima, tanto internos quanto externos. A Microsoft enfatiza que a simples redefinição de senhas não é suficiente para mitigar a ameaça, sendo necessário revogar cookies de sessão ativos e remover regras de caixa de entrada criadas pelos atacantes. As organizações são aconselhadas a implementar controles de segurança robustos, como autenticação multifator resistente a phishing e políticas de acesso condicional.

Com a aproximação do período de volta às aulas, a Kaspersky alerta para o aumento de golpes virtuais que visam enganar consumidores em busca de materiais escolares e uniformes. Os cibercriminosos aproveitam a urgência das compras, criando sites falsos que imitam lojas conhecidas, oferecendo preços muito abaixo do mercado e promoções urgentes. Esses golpes podem ocorrer por meio de SMS, WhatsApp, e-mails e redes sociais, levando os usuários a clicarem em links fraudulentos que podem roubar dados pessoais e bancários. Para se proteger, a Kaspersky recomenda que os consumidores verifiquem sempre a fonte das ofertas, acessem diretamente os sites oficiais das lojas e desconfiem de mensagens inesperadas. Além disso, é importante ficar atento a boletos e pagamentos via Pix, confirmando a legitimidade dos documentos antes de efetuar qualquer transação. Com a crescente digitalização das compras, a conscientização sobre esses riscos é fundamental para evitar prejuízos financeiros.

Uma falha na segurança operacional possibilitou que pesquisadores recuperassem dados que o grupo de ransomware INC havia roubado de uma dúzia de organizações nos Estados Unidos. A investigação, conduzida pela empresa Cyber Centaurs, começou após um cliente detectar atividade de criptografia de ransomware em um servidor SQL. O ransomware, uma variante do RainINC, foi executado a partir do diretório PerfLogs, que normalmente é utilizado pelo Windows, mas que os atacantes começaram a usar para armazenar suas ferramentas. Durante a análise, os pesquisadores encontraram vestígios de uma ferramenta de backup legítima chamada Restic, embora esta não tenha sido utilizada na exfiltração de dados. A análise revelou que o grupo de ransomware poderia estar reutilizando a infraestrutura de backup em várias campanhas, o que levantou a hipótese de que dados roubados de outras organizações poderiam ainda estar disponíveis em forma criptografada. Para validar essa teoria, a equipe desenvolveu um processo de enumeração controlada que confirmou a presença de dados criptografados de 12 organizações diferentes em setores como saúde, manufatura e tecnologia. Após a recuperação, os dados foram descriptografados e as cópias preservadas, enquanto a Cyber Centaurs contatou as autoridades para validar a propriedade e orientar sobre os procedimentos adequados.

A Microsoft anunciou a implementação de uma nova funcionalidade de segurança chamada ‘Proteção contra Impersonação de Marca’ para chamadas no Teams. Essa ferramenta, que será ativada automaticamente em meados de fevereiro, visa alertar os usuários sobre chamadas VoIP de contatos externos que tentam se passar por organizações confiáveis, um método comum em ataques de engenharia social. Ao receber uma chamada de um contato externo pela primeira vez, o sistema verificará sinais de impersonação de marca e emitirá avisos de alto risco antes que a chamada seja atendida. Os usuários terão a opção de aceitar, bloquear ou encerrar chamadas sinalizadas, e os alertas poderão persistir durante a conversa se sinais suspeitos continuarem. Essa atualização é parte do esforço contínuo da Microsoft para melhorar a segurança da identidade do chamador e a colaboração segura. Além disso, a empresa recomenda que os departamentos de TI atualizem seus materiais de treinamento e preparem suas equipes de suporte para responder a perguntas sobre esses novos avisos. Com mais de 320 milhões de usuários mensais, a segurança no Teams se torna uma prioridade, especialmente em um cenário onde fraudes e ataques cibernéticos estão em ascensão.

Uma vulnerabilidade crítica de bypass de autenticação no SmarterMail, ferramenta de e-mail e colaboração da SmarterTools, está sendo ativamente explorada por hackers. Essa falha permite que atacantes não autenticados redefinam senhas de administradores, obtendo assim privilégios totais no sistema. O problema reside no endpoint da API ‘force-reset-password’, que aceita entradas JSON controladas pelo atacante, permitindo que qualquer um que conheça ou adivinhe um nome de usuário de administrador possa definir uma nova senha. Apesar da presença do campo ‘OldPassword’, o sistema não realiza verificações de segurança adequadas. Pesquisadores da watchTowr relataram a vulnerabilidade em 8 de janeiro, e a SmarterTools lançou um patch em 15 de janeiro. No entanto, apenas dois dias após a correção, evidências indicaram que os hackers começaram a explorar a falha, sugerindo que eles conseguiram reverter o patch. A vulnerabilidade afeta apenas contas de nível administrativo, permitindo que atacantes executem comandos do sistema operacional e obtenham execução remota de código. A recomendação é que os usuários do SmarterMail atualizem para a versão mais recente do software, que corrige ambas as falhas identificadas.

Uma falha de segurança crítica foi revelada no daemon telnet do GNU InetUtils, afetando todas as versões desde a 1.9.3 até a 2.7. Classificada como CVE-2026-24061, a vulnerabilidade possui uma pontuação de 9.8 no sistema CVSS, indicando seu alto risco. O problema permite que um atacante contorne a autenticação remota ao manipular a variável de ambiente USER com o valor ‘-f root’. Isso resulta em um login automático como root, comprometendo a segurança do sistema. A falha foi introduzida em um commit de código em março de 2015 e descoberta recentemente por um pesquisador de segurança. Nos últimos dias, 21 endereços IP únicos foram identificados tentando explorar essa vulnerabilidade, todos marcados como maliciosos e originários de países como Hong Kong, EUA, Japão e Alemanha. Para mitigar os riscos, recomenda-se aplicar patches atualizados e restringir o acesso à porta telnet apenas a clientes confiáveis. Alternativamente, os usuários podem desativar o servidor telnetd ou utilizar uma ferramenta de login personalizada que não permita o parâmetro ‘-f’.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware chamada Osiris, que atacou um grande operador de franquias de serviços alimentícios no Sudeste Asiático em novembro de 2025. O ataque utilizou um driver malicioso denominado POORTRY, parte de uma técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD), para desativar softwares de segurança. O Osiris é considerado uma nova cepa de ransomware, sem relação com uma variante anterior do mesmo nome. Os especialistas da Broadcom identificaram indícios que sugerem que os atacantes podem ter vínculos com o ransomware INC. O Osiris utiliza um esquema de criptografia híbrido e chaves únicas para cada arquivo, sendo capaz de interromper serviços e especificar quais pastas e extensões devem ser criptografadas. O ataque também envolveu a exfiltração de dados sensíveis para um bucket de armazenamento em nuvem Wasabi, utilizando ferramentas como Rclone e uma versão personalizada do software de desktop remoto Rustdesk. O uso do driver POORTRY, projetado para elevar privilégios e encerrar ferramentas de segurança, destaca a evolução das táticas de ransomware, que continuam a representar uma ameaça significativa para as empresas. Em 2025, foram registrados 4.737 ataques de ransomware, um aumento em relação ao ano anterior, evidenciando a persistência e a adaptação dos grupos de cibercrime.

O grupo de ransomware NightSpire atacou o hotel Hyatt Place Chelsea, em Nova York, e roubou 48,5 GB de dados sensíveis, que incluem recibos, registros de gastos e informações pessoais de funcionários e parceiros. Os hackers disponibilizaram esses dados em um site da dark web, onde oferecem amostras para potenciais compradores. Especialistas da Cybernews analisaram os arquivos e identificaram que as informações podem ser utilizadas para ataques de phishing, aumentando o risco de novos vazamentos de dados. A Hyatt Hotels Corporation, que opera mais de 1.350 hotéis globalmente, ainda não se pronunciou oficialmente sobre o incidente. A indústria hoteleira é frequentemente alvo de ciberataques, e a falta de informações claras sobre a extensão do ataque levanta preocupações sobre a segurança dos dados de clientes e parceiros. O impacto potencial desse vazamento pode ser significativo, considerando a natureza sensível das informações envolvidas e a possibilidade de acesso a sistemas internos da empresa.

Uma nova campanha de phishing no LinkedIn, identificada pela ReliaQuest, está direcionada a executivos da plataforma, utilizando anúncios falsos de emprego para enganá-los. Os hackers empregam táticas sofisticadas, combinando projetos legítimos de testes de intrusão em Python com o carregamento lateral de DLLs para disseminar ofertas de trabalho fraudulentas. As vítimas são cuidadosamente selecionadas e recebem convites que parecem legítimos, levando-as a clicar em links que instalam um arquivo autoextraível do WinRAR. Ao abrir o arquivo, a vítima extrai arquivos maliciosos que, ao serem acessados, ativam um documento PDF corrompido. Isso permite o carregamento de uma DLL comprometida que executa um código malicioso sem gerar alertas de segurança. O ataque resulta na instalação de um trojan de acesso remoto (RAT) que se comunica com um servidor de comando e controle para roubar dados. O LinkedIn está ciente da situação e trabalha para mitigar as ações criminosas. Especialistas recomendam cautela ao lidar com links e downloads suspeitos em mensagens privadas.

Dispositivos Fortinet FortiGate estão sendo alvo de ataques automatizados que criam contas não autorizadas e roubam dados de configuração do firewall, conforme relatado pela empresa de cibersegurança Arctic Wolf. A campanha começou em 15 de janeiro, com os atacantes explorando uma vulnerabilidade desconhecida na funcionalidade de login único (SSO) dos dispositivos, permitindo a criação de contas com acesso VPN e a exportação de configurações de firewall em questão de segundos. Esses ataques são semelhantes a incidentes documentados em dezembro, após a divulgação de uma vulnerabilidade crítica de bypass de autenticação (CVE-2025-59718) nos produtos da Fortinet. Embora a Fortinet tenha lançado patches, relatos indicam que a versão mais recente do FortiOS (7.4.10) não resolve completamente a falha de autenticação. Para mitigar os riscos, a Arctic Wolf recomenda que os administradores desativem temporariamente o recurso de login SSO do FortiCloud até que um patch completo seja disponibilizado. A CISA também incluiu a CVE-2025-59718 em seu catálogo de falhas exploradas em ataques, exigindo que agências federais realizem correções em uma semana.

Durante o segundo dia do Pwn2Own Automotive 2026, realizado em Tóquio, pesquisadores de segurança arrecadaram US$ 439.250 (cerca de R$ 2,3 milhões) ao explorar 29 vulnerabilidades zero-day. O evento, que ocorre de 21 a 23 de janeiro, foca em tecnologias automotivas, incluindo sistemas de infotainment e carregadores de veículos elétricos. A equipe Fuzzware.io lidera a competição com US$ 213.000 em prêmios, destacando-se ao hackear o controlador de carregamento Phoenix Contact CHARX SEC-3150 e o carregador ChargePoint Home Flex. Outros participantes, como Sina Kheirkhah e Rob Blakely, também conseguiram exploits significativos, totalizando até agora US$ 955.750 em prêmios após dois dias. O evento é uma plataforma importante para a identificação de falhas de segurança, com um prazo de 90 dias para que os fornecedores lancem correções para as vulnerabilidades exploradas. O Pwn2Own Automotive de 2026 já demonstrou um aumento no número de zero-days em comparação aos anos anteriores, o que levanta preocupações sobre a segurança das tecnologias automotivas em um mercado em rápida evolução.

O trabalho híbrido trouxe novos desafios para a gestão de senhas nas empresas, especialmente em relação às redefinições de senhas. Antes, quando todos trabalhavam no escritório, um funcionário que esquecesse suas credenciais poderia rapidamente resolver o problema com a equipe de TI. No entanto, com a mudança para um modelo híbrido, onde 51% dos trabalhadores remotos nos EUA atuam dessa forma, as redefinições de senhas se tornaram um fardo significativo. Estudos indicam que 40% das chamadas ao helpdesk são relacionadas a senhas, e a situação se agravou com a necessidade de mudanças mais frequentes de senhas por questões de segurança. Isso resulta em custos elevados para as organizações, estimados em cerca de $65.000 anuais apenas em redefinições de senhas. Além disso, a produtividade dos funcionários é severamente impactada, pois muitos ficam impossibilitados de trabalhar enquanto aguardam assistência. A solução proposta é a implementação de ferramentas de autoatendimento para redefinição de senhas, permitindo que os funcionários resolvam esses problemas de forma rápida e segura, sem depender da equipe de TI. Essa abordagem não só melhora a eficiência operacional, mas também reduz os custos associados às redefinições de senhas.

Uma nova vulnerabilidade no software de e-mail SmarterTools SmarterMail está sendo ativamente explorada, apenas dois dias após a liberação de um patch. A falha, que ainda não possui um identificador CVE, é rastreada como WT-2026-0001 pela watchTowr Labs e foi corrigida em 15 de janeiro de 2026. Trata-se de uma falha de bypass de autenticação que permite a qualquer usuário redefinir a senha do administrador do sistema SmarterMail através de uma requisição HTTP manipulada. Os pesquisadores destacam que essa vulnerabilidade não só permite a alteração da senha, mas também possibilita a execução remota de comandos do sistema operacional. O problema reside na função ‘ForceResetPassword’, que pode ser acessada sem autenticação, permitindo que um invasor que conheça o nome de usuário de um administrador altere sua senha. Além disso, a falta de clareza nas notas de versão da SmarterTools sobre as correções realizadas aumenta a preocupação, pois pode ter permitido que atacantes revertessem as correções e explorassem a falha. A situação é crítica, especialmente após um incidente anterior que já havia revelado uma falha severa no SmarterMail, destacando a necessidade de vigilância e ações rápidas por parte dos administradores de sistemas.

As equipes de segurança em empresas ágeis e em rápido crescimento enfrentam o desafio de proteger os negócios sem comprometer a agilidade. O Google Workspace oferece uma base sólida de segurança, mas suas ferramentas nativas têm limitações, especialmente em relação a ataques direcionados, como o Business Email Compromise (BEC) e phishing. O e-mail continua sendo o principal vetor de ataque, e a proteção nativa do Gmail pode falhar em detectar ameaças sofisticadas. Para melhorar a segurança do Gmail, recomenda-se ativar a varredura avançada, implementar protocolos de autenticação como SPF, DKIM e DMARC, e adotar a autenticação multifatorial (MFA). Além disso, é crucial desativar protocolos legados que não suportam MFA e gerenciar o acesso a aplicativos de terceiros. A plataforma Material Security complementa o Google Workspace, oferecendo proteção avançada contra e-mails e segurança contextual das contas, além de descobrir e proteger dados sensíveis. Com a crescente complexidade das ameaças, é vital que as empresas adotem uma abordagem proativa para garantir a segurança de suas informações e operações.

Nesta semana, as ameaças cibernéticas destacaram-se pela utilização de sistemas comuns que, embora funcionem conforme o esperado, foram manipulados por atacantes. As campanhas de phishing, como a ‘Operação Nomad Leopard’, visam entidades governamentais no Afeganistão, utilizando documentos administrativos falsos para distribuir um backdoor chamado FALSECUB. Além disso, grupos hacktivistas alinhados à Rússia estão realizando ataques de negação de serviço (DoS) contra a infraestrutura crítica do Reino Unido. Outra técnica alarmante é o uso de side-loading de DLLs, onde aplicativos confiáveis são explorados para carregar códigos maliciosos. Pesquisadores também relataram campanhas de malware disfarçadas de ferramentas de conversão de arquivos, que instalam trojans de acesso remoto (RATs) em sistemas de usuários desavisados. A nova legislação da Comissão Europeia visa fortalecer a segurança cibernética na cadeia de suprimentos de tecnologia, exigindo a remoção de fornecedores de alto risco. Essas tendências revelam uma mudança significativa na forma como os atacantes operam, enfatizando a importância da vigilância e da confiança nas ferramentas utilizadas pelas organizações.

Um alerta da NordVPN destaca que, mesmo quando inativos, os smartphones continuam a compartilhar dados em segundo plano, o que pode representar riscos à privacidade dos usuários. Durante a noite, enquanto os dispositivos parecem estar parados, eles realizam trocas de dados para atualizações de sistema, notificações e sincronização de mensagens. Embora algumas dessas atividades sejam necessárias para o funcionamento adequado do aparelho, outras podem expor informações pessoais sem o consentimento do usuário. Isso inclui a transmissão de identificadores de dispositivos e dados de localização, mesmo com o GPS desativado. Para mitigar esses riscos, a NordVPN recomenda revisar permissões de aplicativos, desativar a atualização em segundo plano e limitar backups automáticos. O uso de uma VPN com proteção contra rastreadores também é sugerido como uma forma eficaz de proteger a privacidade. A conscientização sobre essas práticas é crucial, especialmente em um cenário onde a proteção de dados é cada vez mais relevante, especialmente com a vigência da LGPD no Brasil.

A empresa de cibersegurança Arctic Wolf alertou sobre um novo cluster de atividades maliciosas automatizadas que envolvem mudanças não autorizadas nas configurações de firewall de dispositivos Fortinet FortiGate. Essa atividade teve início em 15 de janeiro de 2026 e apresenta semelhanças com uma campanha anterior de dezembro de 2025, onde logins SSO maliciosos foram registrados em contas administrativas, explorando as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. Essas falhas permitem a bypass não autenticada da autenticação SSO através de mensagens SAML manipuladas, afetando FortiOS, FortiWeb, FortiProxy e FortiSwitchManager.

Uma nova família de trojans de cliques para Android está utilizando modelos de aprendizado de máquina do TensorFlow para detectar e interagir automaticamente com elementos publicitários específicos. Ao contrário dos trojans tradicionais que dependem de rotinas de clique em JavaScript, essa nova abordagem realiza uma análise visual baseada em aprendizado de máquina. Os pesquisadores da Dr.Web identificaram que esses malwares estão sendo distribuídos através da loja oficial GetApps de dispositivos Xiaomi, operando em um modo chamado ‘fantasma’, que utiliza um navegador oculto para carregar páginas de anúncios e scripts JavaScript que automatizam ações sobre os anúncios exibidos. Além disso, um segundo modo, denominado ‘sinalização’, permite que os atacantes transmitam um feed de vídeo ao vivo da tela do navegador virtual, possibilitando ações em tempo real. Os trojans são frequentemente incorporados em jogos inicialmente benignos, recebendo funcionalidades maliciosas em atualizações subsequentes. Os pesquisadores alertam que a instalação de aplicativos fora do Google Play, especialmente versões modificadas de aplicativos populares, deve ser evitada, pois isso aumenta o risco de infecção. Embora a fraude de cliques não represente uma ameaça imediata à privacidade dos usuários, ela pode resultar em drenagem da bateria e custos adicionais de dados móveis.

Pesquisadores da Zafran Labs descobriram duas vulnerabilidades de alta gravidade no Chainlit, um framework open-source amplamente utilizado para desenvolver aplicações de IA conversacional. As falhas, conhecidas como ‘ChainLeak’, permitem que atacantes leiam qualquer arquivo no servidor, expondo informações sensíveis. A primeira vulnerabilidade, CVE-2026-22218, permite a leitura arbitrária de arquivos através do endpoint /project/element, onde um atacante pode enviar um elemento personalizado com um campo ‘path’ controlado, acessando arquivos como chaves de API e credenciais de contas em nuvem. A segunda, CVE-2026-22219, envolve uma falsificação de requisição do lado do servidor (SSRF), onde um atacante pode manipular o campo ‘url’ para forçar o servidor a buscar dados de URLs externas, que podem incluir serviços REST internos. Ambas as vulnerabilidades podem ser combinadas para comprometer completamente o sistema e permitir movimentos laterais em ambientes de nuvem. As falhas foram corrigidas na versão 2.9.4 do Chainlit, lançada em 24 de dezembro de 2025, e as organizações afetadas são aconselhadas a atualizar imediatamente para evitar exploração. Com 700 mil downloads mensais, o Chainlit é utilizado em diversas indústrias, tornando a situação ainda mais crítica.

Uma onda massiva de spam está afetando usuários em todo o mundo, originada de sistemas de suporte Zendesk não seguros. Desde 18 de janeiro, vítimas relatam o recebimento de centenas de e-mails com assuntos estranhos e alarmantes. Embora os e-mails não contenham links maliciosos ou tentativas óbvias de phishing, a quantidade e a natureza caótica das mensagens têm gerado confusão e preocupação entre os destinatários. Os atacantes estão explorando a capacidade do Zendesk de permitir que usuários não verificados enviem tickets de suporte, que geram automaticamente e-mails de confirmação. Empresas como Discord, Tinder e Dropbox foram identificadas como afetadas. Os assuntos dos e-mails incluem pedidos de ordem de apreensão e ofertas de serviços gratuitos, escritos em fontes Unicode para aumentar a confusão. A Zendesk afirmou que está implementando novas funcionalidades de segurança para detectar e interromper esse tipo de spam. A empresa recomenda que as organizações restrinjam a criação de tickets apenas a usuários verificados para evitar abusos futuros.

Uma vulnerabilidade crítica foi identificada no plugin Advanced Custom Fields: Extended (ACF Extended), utilizado em sites WordPress, que permite a hackers obterem permissões de administrador sem autenticação. Essa falha, classificada como CVE-2025-14533, está relacionada ao abuso de privilégios através do formulário de ação ‘Insert User / Update User’ nas versões 0.9.2.1 e posteriores. A vulnerabilidade se origina da falta de restrições adequadas durante a criação ou atualização de usuários, permitindo que qualquer hacker escolha o papel de um novo usuário. O pesquisador Andrea Bocchetti reportou a falha à empresa de segurança Wordfence em 10 de dezembro de 2025, e uma atualização foi disponibilizada quatro dias depois. Apesar de cerca de 50.000 sites estarem potencialmente vulneráveis, até o momento, não foram registrados ataques explorando essa falha. Contudo, a GreyNoise observou campanhas de hackers que visam falhas em plugins do WordPress, indicando um risco crescente para os usuários que ainda não atualizaram seus sistemas.

Pesquisadores da Check Point Research (CPR) identificaram um novo malware chamado VoidLink, que opera em ambientes Linux e foi desenvolvido quase que inteiramente com o auxílio de inteligência artificial (IA). O malware possui uma estrutura complexa, incluindo loaders, módulos de rootkit e uma variedade de plugins. A criação do VoidLink foi realizada em apenas uma semana, utilizando a TRAE SOLO, um assistente de IA que ajudou o desenvolvedor a gerar um código-fonte de 88.000 linhas. Embora o hacker não tenha conseguido ocultar completamente suas atividades, falhas em sua implementação permitiram que os pesquisadores acessassem o código e a documentação do projeto. O VoidLink é considerado o primeiro exemplo documentado de um malware avançado gerado por IA, o que levanta preocupações sobre a capacidade de indivíduos com conhecimentos técnicos limitados de criar ameaças cibernéticas sofisticadas. Essa nova era de desenvolvimento de malware pode alterar significativamente o cenário da cibersegurança, tornando mais fácil para cibercriminosos desenvolverem ferramentas complexas sem a necessidade de grandes equipes de desenvolvimento.

Especialistas da Jamf Threat Labs identificaram uma nova campanha de hackers norte-coreanos, chamada Contagious Interview, que visa programadores através de ofertas de emprego atrativas. Os atacantes direcionam as vítimas a repositórios no GitHub, GitLab ou BitBucket, onde projetos maliciosos são apresentados. Ao abrir esses projetos no Microsoft Visual Studio Code (VS Code), os usuários ativam uma backdoor que permite acesso contínuo aos seus computadores. Essa técnica utiliza arquivos de configuração de tarefas do VS Code para executar códigos maliciosos, como os malwares BeaverTail e InvisibleFerret, sempre que um arquivo da pasta do projeto é aberto. Os hackers têm como alvo principal engenheiros de software que trabalham com criptomoedas e fintechs, buscando acesso a bens financeiros e carteiras digitais. A evolução rápida dos malwares e a utilização de métodos sofisticados de infecção tornam esses ataques ainda mais perigosos, dificultando a detecção por antivírus e outras medidas de segurança. A Jamf alerta que a confiança concedida ao autor do repositório facilita a execução do código malicioso, representando uma ameaça significativa para a segurança digital dos programadores.

A LastPass emitiu um alerta sobre uma nova campanha de phishing que se apresenta como uma notificação de manutenção do serviço, solicitando que os usuários façam backup de seus cofres em um prazo de 24 horas. Os e-mails maliciosos contêm links que supostamente direcionam os usuários para um site onde poderiam criar um backup criptografado, mas na verdade visam roubar senhas mestras e sequestrar contas. A empresa enfatiza que não está solicitando backups e que essa tática é comum em ataques de engenharia social. A campanha foi identificada pela equipe de Inteligência de Ameaças da LastPass e começou em 19 de janeiro, com mensagens enviadas de endereços como ‘support@lastpass[.]server8’ e ‘support@sr22vegas[.]com’. Os e-mails, que imitam comunicações legítimas da LastPass, criam um senso de urgência para enganar os usuários. A LastPass recomenda que os usuários nunca compartilhem suas senhas mestras e que relatem incidentes suspeitos. A campanha foi lançada durante um feriado nos EUA, visando uma resposta menos ágil dos usuários. O site de phishing, ‘mail-lastpass[.]com’, estava fora do ar no momento da reportagem.

Clientes da Fortinet estão enfrentando ataques que exploram uma vulnerabilidade crítica de autenticação em firewalls FortiGate, identificada como CVE-2025-59718. Apesar de um patch ter sido lançado em dezembro, administradores relataram que a versão mais recente do FortiOS (7.4.10) não resolveu completamente o problema. Um administrador afetado observou um login malicioso em sua conta de administrador local, que foi criado a partir de um login SSO (Single Sign-On) malicioso. Os logs mostraram que a conta foi criada a partir de um endereço de e-mail suspeito e um IP que já havia sido associado a ataques anteriores. Fortinet planeja lançar novas versões do FortiOS para corrigir a falha, mas até que isso aconteça, recomenda-se que os administradores desativem temporariamente a funcionalidade de login FortiCloud SSO. Embora essa funcionalidade não esteja habilitada por padrão, mais de 25.000 dispositivos Fortinet ainda estão expostos online. A CISA incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas, exigindo que agências federais a corrigissem em uma semana.

A PcComponentes, um importante varejista de tecnologia na Espanha, negou alegações de um vazamento de dados que afetaria 16 milhões de clientes, mas confirmou ter sofrido um ataque de credential stuffing. O ataque ocorreu quando um ator de ameaças, identificado como ‘daghetiaw’, publicou uma suposta base de dados de clientes da empresa, contendo 16,3 milhões de registros, e vazou 500 mil deles. Os dados expostos incluem informações pessoais como nomes, endereços, números de telefone e mensagens de suporte ao cliente. A empresa afirmou que não houve acesso não autorizado a seus sistemas e que os números de contas ativas são significativamente menores do que os alegados. A PcComponentes também revelou que o ataque foi realizado utilizando credenciais de login de outros vazamentos, coletadas de computadores infectados por malware. Em resposta, a empresa implementou medidas de segurança, como CAPTCHA nas páginas de login e a ativação obrigatória da autenticação de dois fatores (2FA) para todos os usuários. A PcComponentes recomenda que seus clientes utilizem senhas fortes e únicas e permaneçam atentos a possíveis tentativas de phishing.

Uma nova campanha de espionagem cibernética, conhecida como Contagious Interview, foi identificada, envolvendo 3.136 endereços IP associados a 20 organizações-alvo em setores como inteligência artificial, criptomoedas e serviços financeiros. A pesquisa, realizada pelo Insikt Group da Recorded Future, revela que a atividade ocorreu entre agosto de 2024 e setembro de 2025, com alvos localizados na Europa, Sul da Ásia, Oriente Médio e América Central. Os atacantes, associados ao grupo PurpleBravo, utilizam táticas como a criação de perfis falsos no LinkedIn e a distribuição de projetos maliciosos no GitHub para infiltrar sistemas corporativos. A campanha destaca a vulnerabilidade da cadeia de suprimentos de software, onde candidatos a emprego podem inadvertidamente comprometer dispositivos corporativos ao executar códigos maliciosos. Além disso, a PurpleBravo opera em conjunto com outra campanha chamada Wagemole, que busca emprego não autorizado por meio de identidades fraudulentas. A utilização de servidores de comando e controle (C2) gerenciados via VPN e a exploração de fluxos de trabalho de desenvolvedores confiáveis são preocupações crescentes para a segurança cibernética global.

Pesquisadores da empresa Resecurity identificaram uma nova cepa de malware chamada PDFSIDER, que visa obter acesso furtivo e contínuo a sistemas comprometidos. O ataque começa com um e-mail de spear-phishing que contém um arquivo ZIP com um executável legítimo, chamado ‘PDF24 App’, que imita um software conhecido de criação de PDFs. Ao ser executado, o malware não apresenta interface visível, mas instala uma backdoor encriptada no sistema.

O PDFSIDER utiliza uma técnica de carregamento lateral de DLLs, explorando fraquezas no aplicativo legítimo para carregar uma biblioteca maliciosa, contornando assim a detecção de antivírus e soluções de segurança mais robustas. O malware se conecta a um canal de comando e controle (C2) para receber instruções e enviar dados de volta aos atacantes, utilizando criptografia AES-256-GCM para proteger a comunicação.

Uma nova iniciativa europeia, chamada Global Cybersecurity Vulnerability Enumeration (GCVE), foi lançada como uma alternativa ao programa americano Common Vulnerabilities and Exposures (CVE). O GCVE visa criar um banco de dados abrangente sobre vulnerabilidades de cibersegurança, reunindo informações de mais de 25 fontes públicas. O objetivo principal é reduzir os pontos de falha e promover a inovação na gestão de vulnerabilidades, permitindo que profissionais e pesquisadores de todo o mundo analisem dados de forma mais eficiente. A criação do GCVE surge em um contexto de incerteza em relação ao CVE, especialmente após a crise enfrentada em 2025, quando o governo dos EUA cancelou contratos significativos com a MITRE, a organização que administra o CVE. Especialistas, como William Wright, CEO da Closed Door Security, destacam que o GCVE pode se tornar uma alternativa confiável caso o programa americano seja encerrado, facilitando um processo de documentação mais ágil em meio a ameaças cibernéticas. Essa iniciativa é bem recebida pela comunidade de cibersegurança, que busca alternativas descentralizadas para enfrentar os desafios globais do setor.

A LastPass, plataforma de gerenciamento de senhas, emitiu um alerta sobre uma nova campanha de phishing que visa roubar as credenciais mestras dos usuários. Os cibercriminosos estão enviando e-mails fraudulentos que se passam pela LastPass, alegando a necessidade de uma manutenção iminente no sistema. A mensagem falsa cria um senso de urgência, incentivando os usuários a realizar um backup local de suas senhas em um prazo de 24 horas. Essa estratégia de engenharia social é projetada para enganar as vítimas e levá-las a um site de phishing, que redireciona para um domínio comprometido, onde as chaves mestras podem ser capturadas. A LastPass enfatizou que nunca solicitará a senha mestra ou exigirá ações imediatas com prazos apertados. A empresa está colaborando com um parceiro para desmantelar a campanha antes que mais usuários sejam afetados. Este incidente destaca a importância da conscientização sobre segurança digital e a necessidade de vigilância constante contra tentativas de phishing.

O Centro de Ciber Segurança Nacional do Reino Unido (NCSC) alertou sobre um aumento nos ataques cibernéticos direcionados a instituições britânicas, incluindo órgãos governamentais e operadores de infraestrutura crítica. Esses ataques, principalmente de negação de serviço (DoS), têm como objetivo derrubar sites e serviços essenciais, impactando diretamente a população, especialmente em áreas como saúde. O grupo hacktivista NoName057(16), ativo desde março de 2022, é um dos principais responsáveis por essas ações, utilizando plataformas como Telegram e GitHub para coordenar seus ataques e compartilhar ferramentas. A motivação por trás desses ataques é ideológica, relacionada ao apoio ocidental à Ucrânia no atual conflito. Apesar de sua baixa sofisticação técnica, os ataques DoS podem causar interrupções significativas, exigindo tempo e recursos para recuperação. A NCSC recomenda que as organizações revisem suas defesas e fortaleçam a resiliência cibernética para mitigar esses riscos.

Funcionários da DOGE, equipe de Elon Musk, estão sob investigação por supostas violações da Lei Hatch, que proíbe o uso de informações governamentais para fins políticos. O Departamento de Justiça dos EUA revelou que membros da DOGE mantiveram contato secreto com um grupo de defesa que buscava reverter resultados eleitorais em alguns estados. O grupo teria solicitado a análise de listas de eleitores estaduais, alegando a busca por evidências de fraude eleitoral. Além disso, informações privadas, possivelmente compartilhadas através de servidores de terceiros não autorizados, podem ter sido acessadas. Um assessor sênior da DOGE foi incluído em um e-mail que continha dados pessoais de cerca de 1.000 indivíduos, levantando preocupações sobre a segurança e a privacidade dos dados. O caso destaca a necessidade de rigor na proteção de informações sensíveis e a conformidade com as leis de privacidade, especialmente em um contexto onde a manipulação de dados pode ter implicações significativas para a integridade eleitoral e a confiança pública.

Durante a competição Pwn2Own Automotive 2026, realizada em Tóquio, o time Synacktiv conseguiu explorar 37 vulnerabilidades zero-day no sistema de infotainment da Tesla, resultando em um prêmio de US$ 516.500. O ataque foi realizado através de uma combinação de falhas, incluindo um vazamento de informações e uma falha de escrita fora dos limites, que permitiram ao time obter permissões de root. Além disso, o time Fuzzware.io arrecadou US$ 118.000 ao hackear estações de carregamento e receptores de navegação. No segundo dia da competição, mais equipes se preparam para atacar dispositivos como o Grizzl-E Smart 40A e o ChargePoint Home Flex, com recompensas de até US$ 50.000 por cada sucesso. Os fornecedores têm um prazo de 90 dias para corrigir as falhas antes que sejam divulgadas publicamente. A competição destaca a vulnerabilidade crescente em tecnologias automotivas, especialmente em sistemas de infotainment e carregadores de veículos elétricos, que são cada vez mais alvo de ataques cibernéticos.

Um novo relatório da empresa de testes de penetração automatizados Pentera revela que atores maliciosos estão explorando aplicações web mal configuradas, como DVWA e OWASP Juice Shop, para acessar ambientes de nuvem de grandes empresas, incluindo várias da lista Fortune 500. Essas aplicações, que são intencionalmente vulneráveis para fins de treinamento, representam um risco significativo quando expostas na internet pública e associadas a contas de nuvem privilegiadas. A pesquisa identificou 1.926 aplicações vulneráveis expostas, frequentemente ligadas a funções de IAM (Gerenciamento de Identidade e Acesso) excessivamente privilegiadas. Os hackers têm utilizado esses pontos de entrada para implantar mineradores de criptomoedas, webshells e mecanismos de persistência em sistemas comprometidos. A investigação revelou que cerca de 20% das instâncias do DVWA analisadas continham artefatos implantados por atacantes, com atividades de mineração de criptomoedas sendo realizadas em segundo plano. Os pesquisadores recomendam que as organizações mantenham um inventário abrangente de todos os recursos em nuvem e adotem práticas de segurança como a mudança de credenciais padrão e a aplicação do princípio do menor privilégio. As empresas afetadas, como Cloudflare e Palo Alto Networks, já foram notificadas e corrigiram as falhas identificadas.

O phishing é uma técnica de engenharia social que visa enganar usuários para que revelem informações sensíveis, como dados de pagamento e credenciais. O artigo destaca que mesmo profissionais experientes em cibersegurança podem ser vítimas desse tipo de ataque, especialmente em momentos de distração ou estresse emocional. As mensagens de phishing, que podem chegar por e-mail, SMS ou aplicativos de mensagens, frequentemente imitam interações digitais comuns, como notificações de pacotes ou alertas de segurança, tornando-se cada vez mais convincentes. Além disso, a pesquisa revela que o phishing se transformou em uma economia industrializada, com plataformas de phishing como serviço (PhaaS) que permitem a qualquer pessoa, independentemente de habilidade técnica, realizar ataques sofisticados. O uso de inteligência artificial para gerar mensagens personalizadas e contextuais aumenta ainda mais a eficácia desses ataques. A urgência e a distração são fatores críticos que facilitam a ação dos atacantes, tornando a conscientização e a vigilância hábitos essenciais para todos os usuários.

O artigo da Gartner destaca a emergência das Plataformas de Avaliação de Exposição (EAP), uma nova categoria que surge em resposta à ineficácia dos métodos tradicionais de Gestão de Vulnerabilidades (VM) na proteção de empresas modernas. A mudança para a Gestão Contínua de Exposição a Ameaças (CTEM) reflete a necessidade de uma abordagem mais integrada e dinâmica, que considera como as vulnerabilidades se interconectam e como os atacantes se movem entre os ativos.

Em 2026, os provedores de segurança gerenciados (MSSPs) enfrentam um desafio crescente: a quantidade excessiva de alertas e a escassez de analistas, enquanto os clientes exigem proteção de nível CISO com orçamentos de pequenas e médias empresas (PMEs). A solução para esse dilema pode estar na automação por inteligência artificial (IA), que promete revolucionar a entrega de serviços de segurança. Em vez de simplesmente adicionar mais analistas a cada novo cliente, a IA pode realizar avaliações, benchmarking e relatórios em minutos, permitindo que as equipes se concentrem em estratégias mais complexas. O caso de Chad Robinson, CISO da Secure Cyber Defense, ilustra essa mudança: ao implementar a plataforma de IA da Cynomi, sua equipe não apenas automatizou relatórios, mas também transformou analistas juniores em ‘CISOs virtuais’, aumentando a cobertura e a receita de serviços de consultoria. Os primeiros adotantes dessa tecnologia já estão observando ganhos significativos nas margens e ciclos de integração mais rápidos, sem a necessidade de aumentar a equipe. O artigo destaca a importância de adotar a IA para escalar negócios de segurança sem aumentar a folha de pagamento, enfatizando que os MSSPs que prosperarão em 2026 não serão necessariamente os maiores, mas os mais inteligentes.

Zoom e GitLab divulgaram atualizações de segurança para corrigir vulnerabilidades que podem resultar em negação de serviço (DoS) e execução remota de código. A falha mais grave afeta os Roteadores Multimídia Zoom Node (MMRs), permitindo que um participante de reunião execute código remotamente. Essa vulnerabilidade, identificada como CVE-2026-22844, possui um CVSS de 9.9, indicando um risco crítico. A Zoom recomenda que os usuários atualizem para a versão mais recente do MMR para evitar possíveis ameaças. Além disso, a GitLab lançou correções para várias falhas de alta gravidade em suas edições Community e Enterprise, que podem causar DoS e contornar a autenticação de dois fatores (2FA). As vulnerabilidades incluem CVE-2025-13927 e CVE-2025-13928, ambas com CVSS de 7.5, que permitem que usuários não autenticados provoquem condições de DoS. A GitLab também corrigiu uma falha (CVE-2026-0723) que permite a um indivíduo contornar a 2FA. Embora não haja evidências de exploração ativa dessas falhas, a atualização é essencial para garantir a segurança dos sistemas.

Uma vulnerabilidade de segurança foi identificada na popular biblioteca npm binary-parser, que, se explorada, pode resultar na execução de código JavaScript arbitrário. A falha, registrada como CVE-2026-1245, afeta todas as versões do módulo anteriores à versão 2.3.0, que já possui um patch disponível desde 26 de novembro de 2025. O binary-parser é amplamente utilizado para construir parsers em JavaScript, permitindo que desenvolvedores interpretem dados binários de forma eficiente. A vulnerabilidade está relacionada à falta de sanitização de valores fornecidos pelo usuário, como nomes de campos do parser e parâmetros de codificação, quando o código do parser é gerado dinamicamente em tempo de execução. Isso pode permitir que um atacante insira dados não confiáveis, levando à execução de código malicioso com os privilégios do processo Node.js. Aplicações que utilizam definições de parser estáticas não são afetadas. O pesquisador de segurança Maor Caplan foi responsável por descobrir e relatar a vulnerabilidade. Recomenda-se que os usuários do binary-parser atualizem para a versão 2.3.0 e evitem passar valores controlados pelo usuário para os nomes dos campos do parser.

A LastPass emitiu um alerta sobre uma nova campanha de phishing que se apresenta como um aviso de manutenção do serviço de gerenciamento de senhas. Iniciada em 19 de janeiro de 2026, a campanha envia e-mails fraudulentos que solicitam aos usuários que façam um backup local de seus cofres de senhas em um prazo de 24 horas. Os e-mails possuem linhas de assunto como ‘Atualização da Infraestrutura LastPass: Proteja Seu Cofre Agora’ e ‘Importante: Manutenção LastPass e a Segurança do Seu Cofre’. Os usuários são direcionados a um site de phishing que imita o LastPass, com o objetivo de roubar suas senhas mestras. A empresa enfatiza que nunca solicitará a senha mestra dos usuários e está trabalhando com parceiros para desmantelar a infraestrutura maliciosa. A LastPass também compartilhou os endereços de e-mail dos remetentes dos e-mails fraudulentos, alertando os usuários a permanecerem vigilantes e a reportarem atividades suspeitas. Essa campanha é um exemplo clássico de engenharia social, utilizando a urgência como tática para enganar os usuários. Além disso, a LastPass já havia alertado anteriormente sobre uma campanha de roubo de informações que visava usuários do macOS da Apple, através de repositórios falsos no GitHub.

O malware VoidLink, um sofisticado framework para Linux, foi desenvolvido com a ajuda de um modelo de inteligência artificial (IA), segundo a Check Point Research. Identificado como um dos primeiros exemplos de malware avançado gerado em grande parte por IA, o VoidLink possui mais de 88.000 linhas de código e foi projetado para acesso furtivo a ambientes em nuvem baseados em Linux. A análise sugere que um desenvolvedor experiente, possivelmente de origem chinesa, utilizou um agente de codificação chamado TRAE SOLO para acelerar o desenvolvimento, que levou menos de uma semana para criar um protótipo funcional. A pesquisa também revelou que a documentação interna do projeto, escrita em chinês, apresenta características típicas de conteúdo gerado por IA, como formatação consistente e detalhes meticulosos. Embora ainda não tenham sido observadas infecções reais, o desenvolvimento do VoidLink representa uma mudança significativa na forma como malware avançado pode ser criado, permitindo que indivíduos com menos recursos realizem ataques complexos de forma rápida e eficiente. Especialistas alertam que a IA está transformando a cibercriminalidade, tornando ferramentas sofisticadas acessíveis a qualquer um com um cartão de crédito.

Recentemente, foram descobertas vulnerabilidades de alta severidade no framework de inteligência artificial Chainlit, que podem permitir que atacantes roubem dados sensíveis e realizem movimentos laterais dentro de organizações vulneráveis. Denominadas coletivamente de ChainLeak, as falhas incluem a CVE-2026-22218, uma vulnerabilidade de leitura arbitrária de arquivos, e a CVE-2026-22219, uma vulnerabilidade de Server-Side Request Forgery (SSRF). Ambas as falhas podem ser exploradas para acessar chaves de API e arquivos sensíveis, comprometendo a segurança de aplicações de IA. A Chainlit, que já foi baixada mais de 7,3 milhões de vezes, lançou uma correção para essas vulnerabilidades na versão 2.9.4, após a divulgação responsável em novembro de 2025. A Zafran Security alerta que a adoção rápida de frameworks de IA pode introduzir novas superfícies de ataque, tornando sistemas vulneráveis a classes de falhas conhecidas. Além disso, uma vulnerabilidade no servidor MarkItDown da Microsoft também foi divulgada, permitindo acesso não autorizado a recursos URI, o que pode resultar em escalonamento de privilégios e vazamento de dados.

Pesquisadores de segurança descobriram uma vulnerabilidade no Google Gemini que permite a execução de ataques de injeção de prompt através de convites do Google Calendar. Esse tipo de ataque ocorre quando um ator malicioso insere um comando oculto em uma mensagem aparentemente inofensiva. Ao receber um convite de calendário que contém esse comando, a vítima pode inadvertidamente permitir que o AI do Gemini execute ações que resultam na extração de dados sensíveis, como informações de reuniões privadas. O ataque é particularmente preocupante porque não requer interação direta do usuário, permitindo que os invasores acessem dados sem que a vítima perceba. A vulnerabilidade foi mitigada, reduzindo o risco imediato de exploração, mas destaca a necessidade de vigilância contínua em relação a novas técnicas de ataque que podem comprometer a segurança de dados em plataformas amplamente utilizadas. A pesquisa enfatiza a importância de educar os usuários sobre os riscos associados a interações com sistemas de IA e a necessidade de medidas de segurança robustas para proteger informações sensíveis.

A OpenAI está lançando um novo modelo de previsão de idade no ChatGPT, com o objetivo de detectar a faixa etária dos usuários e aplicar restrições de segurança para prevenir o uso inadequado por adolescentes. A empresa busca evitar que conteúdos adultos ou potencialmente perigosos sejam acessados por usuários menores de 18 anos sem o consentimento dos pais. O modelo de detecção de idade analisa os tópicos abordados nas conversas e os horários de uso do ChatGPT para fazer suas previsões. No entanto, a OpenAI alerta que o sistema pode cometer erros, classificando erroneamente adultos como adolescentes. Para aqueles que forem identificados incorretamente, existe a opção de verificação de idade, que pode ser feita através do envio de uma selfie ao vivo e de um documento de identidade emitido pelo governo. Após a verificação, se confirmada a idade, as restrições adicionais serão removidas. Essa funcionalidade está sendo implementada globalmente e se aplicará automaticamente a todas as contas do ChatGPT. A OpenAI também garante que as informações enviadas para verificação serão excluídas em até sete dias após a confirmação da idade.

Pesquisadores da Miggo Security identificaram uma vulnerabilidade no Google Gemini que possibilita a injeção indireta de comandos maliciosos, utilizando o Calendário Google como vetor de ataque. Os criminosos criam um evento de calendário e, na descrição, inserem um prompt em linguagem natural que manipula a inteligência artificial do Gemini. Quando a vítima interage com o chatbot, fazendo perguntas sobre sua agenda, o sistema pode acabar extraindo dados privados e os repassando aos atacantes sem que o usuário perceba. Embora a Google já tenha corrigido a falha, o incidente ressalta os riscos associados ao uso de agentes de IA na automação de tarefas, especialmente quando lidam com informações sensíveis. Pesquisadores alertam que chatbots ainda não são totalmente seguros para gerenciar dados pessoais sem diretrizes rigorosas. Este caso destaca a necessidade de vigilância constante e de práticas de segurança robustas ao utilizar tecnologias de IA em ambientes corporativos.

O Pornhub foi bloqueado em 23 estados dos EUA e na França em resposta a novas legislações que exigem a verificação de idade para acesso a conteúdos adultos. A empresa controladora, Aylo, decidiu retirar o site do ar em locais onde as leis foram implementadas, alegando que a forma como as legislações estão sendo executadas é ineficaz e coloca em risco a privacidade dos usuários. A legislação, que já foi aprovada em estados como Louisiana, Alabama e Texas, visa proteger menores de idade, mas o Pornhub argumenta que isso não impede o acesso a conteúdos impróprios, pois usuários estão migrando para sites piratas sem medidas de segurança. A União Europeia também está investigando a conformidade de sites pornográficos com a Lei de Serviços Digitais (DSA). A procuradora-geral do Missouri defendeu a lei, afirmando que a decisão do Pornhub de se retirar do mercado revela suas prioridades em relação à proteção de crianças. A situação levanta questões sobre a eficácia das legislações e os impactos na privacidade e segurança online.

Pesquisadores da LayerX identificaram 17 novas extensões maliciosas para os navegadores Chrome, Firefox e Edge, que fazem parte da campanha GhostPoster. Essas extensões, que já somam mais de 840.000 downloads, têm como objetivo monitorar a atividade dos usuários e instalar backdoors, permitindo acesso contínuo aos computadores das vítimas. A maioria das extensões foi lançada em 2020 e, em alguns casos, o código malicioso estava oculto na logo PNG do add-on, facilitando a instalação de um payload malicioso a partir de um servidor remoto. Os atacantes implementaram uma estratégia de evasão, baixando o malware apenas 10% das vezes, o que dificulta a detecção. Entre as funcionalidades do malware, destaca-se o roubo de links de afiliados em sites de e-commerce e a injeção de monitoramento do Google Analytics em páginas visitadas. Embora as extensões tenham sido removidas das lojas oficiais, usuários ainda devem verificar se têm alguma delas instalada e removê-las imediatamente, além de limpar o cache do navegador.

A Multiplan, empresa focada em investimentos imobiliários, confirmou uma violação de segurança que ocorreu no início de janeiro de 2026, afetando a base de dados de clientes do aplicativo Multi. A confirmação foi feita em um relatório de auditoria externa e os usuários foram notificados via SMS. O acesso não autorizado foi detectado em 10 de janeiro, e os dados potencialmente acessados incluem informações cadastrais e dados bancários, como os quatro últimos dígitos do cartão de crédito. Apesar da gravidade da situação, a empresa assegurou que não houve uso indevido das informações e que o acesso foi interrompido rapidamente. A Multiplan implementou medidas de segurança adicionais e notificou a Agência Nacional de Proteção de Dados (ANPD) sobre o incidente. A empresa está colaborando com uma consultoria externa para investigar a violação e mitigar seus impactos. Os usuários foram aconselhados a ficarem atentos a comunicações suspeitas e a revisarem a Política de Privacidade do aplicativo para entender como seus dados são tratados.

Um novo ataque cibernético, identificado como uma variante do ClickFix, utiliza uma extensão falsa chamada NexShield, que se apresenta como um bloqueador de anúncios para os navegadores Chrome e Edge. Desenvolvido pelo grupo de ameaças KongTuke, esse ataque é mais sofisticado, pois cria um problema real ao travar o navegador da vítima. Após a instalação, a extensão inicia suas atividades maliciosas uma hora depois, causando uma condição de negação de serviço (DoS) que força o usuário a reiniciar o navegador manualmente. Ao reiniciar, uma mensagem de erro falsa aparece, levando o usuário a copiar um comando no Prompt de Comando do Windows, que, na verdade, instala o ModeloRAT, um trojan de acesso remoto que concede controle total sobre o dispositivo comprometido. Embora os pesquisadores de segurança acreditem que o KongTuke esteja focando principalmente em usuários corporativos, a possibilidade de que indivíduos também sejam alvos no futuro não pode ser descartada. Este ataque destaca a importância de uma vigilância constante e de práticas de segurança cibernética robustas para evitar infecções por malware.

Pesquisadores da Miggo Security descobriram uma vulnerabilidade no assistente de IA Google Gemini, que permite a exfiltração de dados privados do Calendário através de um ataque de injeção de prompt. O ataque começa com o envio de um convite para um evento, contendo uma descrição maliciosa que atua como um payload. Quando a vítima pergunta ao assistente sobre sua agenda, o Gemini processa o evento malicioso e pode vazar informações sensíveis, como resumos de reuniões privadas. Essa técnica se aproveita da capacidade do Gemini de interpretar dados de eventos para ser útil, mas que pode ser manipulada por atacantes. Apesar de o Google ter implementado medidas de segurança após um ataque semelhante em 2025, a nova abordagem dos pesquisadores destaca a dificuldade em prever novas formas de exploração em sistemas de IA. A Miggo compartilhou suas descobertas com o Google, que já está trabalhando em novas mitigação para bloquear esses ataques, mas a complexidade da linguagem natural continua a representar um desafio significativo para a segurança.