Cibersegurança

Pesquisadores de cibersegurança identificaram uma nova campanha de malware que utiliza arquivos SVG como parte de ataques de phishing, disfarçando-se como o sistema judicial colombiano. Os arquivos SVG são enviados por e-mail e contêm um código JavaScript embutido que decodifica e injeta uma página de phishing em HTML, simulando um portal da Fiscalía General de la Nación. Essa página finge realizar o download de documentos oficiais, enquanto, em segundo plano, baixa um arquivo ZIP não especificado. A análise do VirusTotal revelou 44 arquivos SVG únicos, todos não detectados por motores antivírus devido a técnicas de ofuscação e polimorfismo. Além disso, a campanha também está associada a um malware chamado Atomic macOS Stealer (AMOS), que visa usuários de macOS, especialmente aqueles que buscam versões piratas de software. AMOS é capaz de roubar uma ampla gama de dados, incluindo credenciais e carteiras de criptomoedas. A Apple implementou proteções para bloquear a instalação de arquivos .dmg não notarizados, mas os atacantes estão adaptando suas táticas para contornar essas defesas, utilizando comandos no Terminal para instalar o malware. Essa evolução nas técnicas de ataque destaca a necessidade de estratégias de defesa em profundidade.

Pesquisadores da Amazon identificaram e neutralizaram uma tentativa de invasão ao Microsoft 365, realizada pelo grupo de hackers conhecido como Midnight Blizzard, ou APT29, que é apoiado pelo governo russo. Utilizando uma técnica chamada Oásis, os cibercriminosos replicaram sites que os alvos costumam acessar, facilitando o roubo de senhas e a autorização de dispositivos maliciosos. A investigação revelou que o grupo comprometeu diversos sites legítimos e ocultou códigos maliciosos em codificação base64. Os hackers redirecionaram cerca de 10% dos visitantes de domínios afetados para páginas que imitavam a verificação do Cloudflare, levando os usuários a um fluxo de autenticação falso da Microsoft. Após a descoberta, a Amazon isolou as instâncias EC2 utilizadas pelos criminosos e colaborou com a Cloudflare e a Microsoft para interromper as atividades. A empresa recomenda que os usuários verifiquem autorizações de dispositivos e ativem a autenticação de dois fatores para aumentar a segurança. Embora a campanha não tenha comprometido a infraestrutura da Amazon, a situação destaca a necessidade de vigilância constante contra ataques cibernéticos.

Um ciberataque ocorrido em 29 de agosto de 2025, afetou a Sinqia, empresa responsável por conectar diversos bancos brasileiros ao sistema de pagamentos instantâneos Pix. Os hackers conseguiram desviar aproximadamente R$ 710 milhões, sendo R$ 670 milhões do HSBC e R$ 41 milhões da fintech Artta. O Banco Central do Brasil, ao perceber a tentativa de acesso malicioso, bloqueou R$ 589 milhões, o que representa cerca de 83% do total desviado. A investigação revelou que a invasão foi realizada por meio de credenciais comprometidas de funcionários de TI, evidenciando a vulnerabilidade de senhas estáticas e métodos de proteção inadequados. A Sinqia não poderá retomar suas operações no Pix até que o Banco Central avalie e aprove as novas medidas de segurança implementadas. Este incidente destaca um aumento alarmante no uso de credenciais roubadas, que representaram 16% dos incidentes de invasão em 2024, e um crescimento de 800% no roubo de credenciais na primeira metade de 2025. O ataque ressalta a necessidade urgente de reforçar a segurança cibernética nas instituições financeiras brasileiras.

Pesquisadores de cibersegurança da ESET revelaram um novo grupo de ameaças, denominado GhostRedirector, que comprometeu pelo menos 65 servidores Windows, principalmente no Brasil, Tailândia e Vietnã. Os ataques, que começaram em agosto de 2024, utilizam uma backdoor em C++ chamada Rungan e um módulo do Internet Information Services (IIS) chamado Gamshen. O objetivo do Gamshen é manipular resultados de busca, promovendo fraudes de SEO, enquanto a Rungan permite a execução de comandos em servidores comprometidos. O grupo também utiliza técnicas de injeção SQL para obter acesso inicial e ferramentas como PowerShell para implantar malware adicional. A ESET sugere que o GhostRedirector está alinhado a atores de ameaças da China, com indícios de que as fraudes de SEO estão direcionadas a sites de jogos de azar. A manipulação de SEO pode prejudicar a reputação de sites legítimos, associando-os a práticas desonestas. O impacto é significativo, afetando setores variados, como educação, saúde e tecnologia, e requer atenção urgente das equipes de segurança cibernética.

O grupo de hackers patrocinado pelo Estado russo, conhecido como APT28, foi associado a um novo backdoor no Microsoft Outlook, denominado NotDoor, que tem como alvo diversas empresas em países membros da OTAN. Segundo a equipe de inteligência de ameaças LAB52, o NotDoor é um macro VBA que monitora e-mails recebidos em busca de uma palavra-chave específica. Ao detectar um e-mail com essa palavra, o malware permite que o atacante exfiltre dados, faça upload de arquivos e execute comandos no computador da vítima.

Recentemente, surgiram preocupações sobre a privacidade das conversas no ChatGPT, após a OpenAI cancelar a funcionalidade que tornava as interações buscáveis, resultando na exposição de dados sensíveis. Uma análise de 1.000 conversas, realizada pela SafetyDetective, revelou que muitos usuários compartilham informações pessoais e discutem questões delicadas, como saúde mental e problemas legais, com a IA, tratando-a como um terapeuta ou consultor. A pesquisa indicou que 60% das interações se enquadravam na categoria de ‘consulta profissional’, levantando questões sobre a confiança dos usuários na precisão das respostas da IA. Além disso, a falta de compreensão sobre o que significa tornar as conversas buscáveis e a possibilidade de vazamentos de dados pessoais expõem os usuários a riscos como phishing e roubo de identidade. Especialistas recomendam que as empresas de IA tornem seus avisos mais claros e ocultem informações pessoais antes de disponibilizar as conversas na internet. A situação destaca a necessidade de cautela ao compartilhar informações sensíveis com chatbots, independentemente da percepção de privacidade da tecnologia.

Em 4 de setembro de 2025, Mandiant e Sitecore divulgaram uma vulnerabilidade zero-day, identificada como CVE-2025-53690, que afeta produtos populares da Sitecore. A falha permite a execução remota de código, explorando chaves de máquina ASP.NET expostas para criar payloads maliciosos no ViewState, comprometendo servidores e permitindo infiltração na rede. A vulnerabilidade, originada em guias de implantação legados, impacta diversas implementações locais e gerenciadas por clientes, levando a Sitecore a emitir avisos urgentes e patches. Os atacantes, ao explorar essa falha, conseguiram comprometer servidores e realizar reconhecimento profundo da rede, utilizando ferramentas como WEEPSTEEL e EARTHWORM para coletar informações do sistema. Em resposta, a Sitecore recomendou a rotação das chaves de máquina e a ativação da validação e criptografia do ViewState. Organizações que utilizam ASP.NET devem adotar essas práticas para se proteger contra ameaças semelhantes, uma vez que a falha pode ter implicações significativas na segurança e conformidade, especialmente em relação à LGPD.

O FBI emitiu um alerta sobre uma campanha em andamento de operadores cibernéticos do Serviço Federal de Segurança da Rússia (FSB), conhecida como Centro 16, que visa equipamentos de rede legados. A exploração de uma vulnerabilidade não corrigida, CVE-2018-0171, na funcionalidade Smart Install (SMI) da Cisco, permite que atacantes remotos acessem arquivos de configuração dos dispositivos e, em alguns casos, injetem modificações maliciosas que garantem acesso não autorizado persistente. Essa vulnerabilidade, divulgada pela primeira vez em 2018, afeta dispositivos Cisco que utilizam o SMI sem exigir autenticação do usuário. O FBI observou que os operadores russos estão atacando milhares de dispositivos de rede associados a organizações dos EUA em setores críticos, como sistemas de controle industrial e tecnologia operacional, levantando preocupações sobre possíveis interrupções em serviços essenciais. O FBI recomenda que as organizações apliquem imediatamente atualizações de software da Cisco, desativem o SMI onde não for possível aplicar atualizações e implementem monitoramento contínuo de arquivos de configuração. A situação destaca a importância de práticas rigorosas de higiene cibernética, especialmente em um cenário onde a infraestrutura de rede está envelhecendo e as atividades patrocinadas pelo estado estão se intensificando.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou quatro avisos em 2 de setembro de 2025, alertando sobre vulnerabilidades recém-descobertas em sistemas de controle industrial (ICS) que podem ser exploradas em ataques cibernéticos. Essas falhas afetam produtos de empresas como Delta Electronics, Fuji Electric, SunPower e Hitachi Energy, destacando a crescente ameaça enfrentada por utilidades e operadores de infraestrutura crítica em todo o mundo.

O primeiro aviso refere-se a uma vulnerabilidade de travessia de diretório no software EIP Builder da Delta Electronics, que pode permitir que atacantes realizem operações não autorizadas. O segundo alerta destaca um estouro de buffer no FRENIC-Loader 4 da Fuji Electric, que pode levar à execução arbitrária de código. O terceiro aviso menciona uma falha de bypass de autenticação na plataforma de gerenciamento de inversores solares PVS6 da SunPower, permitindo que atacantes alterem configurações críticas. Por fim, o quarto aviso aborda várias vulnerabilidades nos relés de proteção Relion da Hitachi Energy, incluindo operações não autorizadas via interface Modbus.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em agosto de 2025 na Universidade de St. Thomas, em Houston, Texas. O ataque, que causou uma interrupção de nove dias nos sistemas da instituição, foi relatado pela universidade em 13 de agosto, que inicialmente afirmou não haver evidências de dados comprometidos. No entanto, Inc alegou ter roubado 1,8 TB de dados e publicou amostras de documentos supostamente extraídos da universidade. A Universidade de St. Thomas ainda não confirmou a alegação do grupo, e não se sabe se um resgate foi pago ou quais dados foram realmente comprometidos. O ataque resultou na paralisação do site e dos servidores da universidade, afetando serviços essenciais para os alunos, como acesso à moradia e registro de cursos. O grupo Inc, que surgiu em 2023, utiliza táticas como phishing direcionado e exploração de vulnerabilidades conhecidas, operando sob um modelo de ransomware como serviço. Até agora, o grupo já reivindicou 122 ataques confirmados, incluindo 15 em instituições educacionais. A crescente onda de ataques de ransomware em escolas nos EUA, com 30 incidentes confirmados em 2025, destaca a vulnerabilidade do setor educacional e a necessidade de medidas de segurança robustas.

O cenário da cibersegurança evoluiu significativamente desde o vírus ‘Love Bug’ em 2001, transformando-se em um empreendimento criminoso lucrativo. Para enfrentar essa nova realidade, líderes de segurança cibernética, como CISOs e administradores de TI, precisam adotar estratégias proativas que não apenas respondam a ameaças, mas as previnam. O artigo de Yuriy Tsibere destaca a importância de políticas de segurança por padrão, como a autenticação multifator (MFA), a abordagem de negar por padrão e a contenção de aplicativos. Essas medidas podem eliminar categorias inteiras de riscos, como a execução de ransomware e a infiltração de ferramentas não autorizadas. O autor sugere ações simples, como desabilitar macros do Office e bloquear tráfego de servidores não autorizado, que podem criar um ambiente mais seguro. Além disso, a remoção de direitos administrativos locais e o bloqueio de portas não utilizadas são recomendados para limitar a superfície de ataque. A implementação de configurações seguras desde o início é essencial para fortalecer a defesa contra ataques cibernéticos, que estão em constante evolução. A mentalidade de segurança por padrão não é apenas inteligente, mas essencial para reduzir a complexidade e aumentar a resiliência organizacional.

Pesquisadores de cibersegurança identificaram uma nova técnica utilizada por cibercriminosos para contornar as proteções contra malvertising da plataforma de mídia social X, utilizando o assistente de inteligência artificial Grok. A técnica, chamada de Grokking, permite que links maliciosos sejam propagados através de postagens promovidas. Os malvertisers utilizam conteúdo adulto como isca, escondendo links maliciosos no campo de metadados ‘From:’ abaixo do player de vídeo, que não é escaneado pela plataforma. Em seguida, eles mencionam Grok em respostas, fazendo com que o chatbot exiba o link, que agora é amplificado em SEO e reputação de domínio. Os links direcionam os usuários para redes de anúncios suspeitas, levando a fraudes como CAPTCHAs falsos e malware que rouba informações. A Guardio Labs observou centenas de contas envolvidas nesse comportamento, que postam incessantemente até serem suspensas. Essa técnica representa um risco significativo, pois permite que links proibidos pela plataforma se espalhem rapidamente, atingindo milhões de usuários.

A Tesco, uma das maiores redes de supermercados do Reino Unido, processou a Broadcom e um revendedor da VMware, buscando £100 milhões em danos por suposta violação de contrato relacionada a licenças de software. A disputa surgiu após a aquisição de licenças perpétuas para os produtos VMware vSphere Foundation e Cloud Foundation em janeiro de 2021, que deveriam incluir suporte e atualizações até 2026, com a opção de extensão por mais quatro anos. No entanto, após a compra da VMware, a Broadcom interrompeu o suporte a essas licenças perpétuas, direcionando os clientes para modelos de assinatura mais lucrativos. A Tesco argumenta que essa nova estratégia de preços a força a pagar valores excessivos por um software pelo qual já havia pago. A empresa afirma que a interrupção do suporte pode impactar suas operações, já que o software da VMware é fundamental para cerca de 40.000 cargas de trabalho em seus servidores, incluindo sistemas de caixa. Além disso, a Tesco incluiu a Computacenter como co-ré na ação. A situação é preocupante, pois a substituição do software VMware poderia ser custosa e arriscada, levando a mais interrupções nas operações. Outras empresas, como AT&T e Siemens, também apresentaram queixas semelhantes contra a Broadcom, que defende sua estratégia de assinatura como padrão da indústria.

A Cloudflare, empresa especializada em infraestrutura digital, anunciou a neutralização do maior ataque DDoS da história, que atingiu um pico de 11,5 terabits por segundo (Tbps). O ataque, que durou aproximadamente 35 segundos, foi realizado a partir de uma combinação de fontes, incluindo Google Cloud e dispositivos da Internet das Coisas (IoT), como câmeras de segurança e computadores comprometidos. Este incidente é parte de um aumento alarmante nos ataques DDoS, que cresceram 358% em 2025 em comparação ao ano anterior. A Cloudflare também relatou que mitigou 21,3 milhões de ataques DDoS em 2024, com um aumento significativo de 509% nas tentativas de ataque a nível de rede. O aumento na frequência e na intensidade desses ataques levanta preocupações sobre a segurança digital, especialmente para empresas que dependem de serviços online. O Brasil, em particular, se tornou um dos principais alvos de ataques DDoS na América Latina, o que destaca a necessidade de medidas de segurança robustas para proteger a infraestrutura digital do país.

A Jaguar Land Rover (JLR) anunciou que sofreu um ciberataque em seus sistemas nos dias 30 e 31 de agosto de 2025, resultando na interrupção indefinida da produção e no desligamento de vários sistemas. A empresa, que produz mais de 400 mil veículos anualmente e tem um retorno anual de US$ 38 bilhões, informou que as vendas e a produção foram severamente afetadas, especialmente no Reino Unido. Embora não haja evidências de roubo de dados, a companhia está trabalhando para retomar suas atividades globais. Os primeiros relatos de problemas vieram de vendedores britânicos, que não conseguiam registrar novos carros ou peças. A fábrica de Solihull, responsável pela produção de modelos como o Land Rover Discovery e o Range Rover, foi uma das mais impactadas. O ataque ocorreu durante o final de semana, um período em que as empresas têm menos capacidade de resposta. Até o momento, não foram divulgados detalhes sobre a autoria do ataque nem se algum grupo de ransomware se manifestou. A JLR ainda não informou quando as operações serão normalizadas.

Pesquisadores da Cisco Talos identificaram mais de 1.100 instâncias do framework Ollama, utilizado para hospedar modelos de linguagem, acessíveis publicamente na internet. Aproximadamente 20% desses servidores estavam operando sem qualquer forma de autenticação, tornando-os vulneráveis a ataques severos. Em uma varredura rápida usando o Shodan, foram encontrados 1.139 endpoints expostos, dos quais 214 permitiam consultas de modelos sem credenciais. Essa falta de controle de acesso possibilita ataques de extração de modelo e a injeção de conteúdo malicioso. Mesmo os 80% restantes, que estavam inativos no momento da descoberta, apresentam riscos significativos, como uploads não autorizados de modelos e ataques de exaustão de recursos. A análise geoespacial revelou que a maioria dos servidores expostos está localizada nos Estados Unidos, China e Alemanha, evidenciando falhas na segurança da infraestrutura de IA. Para mitigar essas vulnerabilidades, recomenda-se a implementação de mecanismos de autenticação robustos, isolamento de rede e auditorias regulares de exposição. Essas medidas são essenciais para proteger a integridade dos modelos de IA e evitar abusos.

O Distrito Escolar 5 de Lexington e Richland, na Carolina do Sul, confirmou um vazamento de dados que afetou 31.475 pessoas, revelando informações sensíveis como nomes, números de Seguro Social, dados financeiros e identificações emitidas pelo estado. O ataque, atribuído ao grupo de ransomware Interlock, resultou em atrasos no início das aulas de verão e na liberação de bônus para funcionários, além de bloquear o acesso dos colaboradores às suas contas. O grupo Interlock, que já reivindicou 28 ataques confirmados, afirma ter roubado 1,3 TB de dados da instituição. A escola está oferecendo monitoramento de crédito gratuito e um seguro contra roubo de identidade de até US$ 1 milhão para as vítimas. Embora o distrito tenha reconhecido a violação, não está claro se um resgate foi pago ou como o ataque foi realizado. Este incidente destaca a crescente ameaça de ataques de ransomware em instituições educacionais, que podem paralisar operações e expor dados pessoais a fraudes.

Pesquisadores de cibersegurança identificaram dois novos pacotes maliciosos no registro npm que utilizam contratos inteligentes da blockchain Ethereum para executar ações prejudiciais em sistemas comprometidos. Os pacotes, chamados ‘colortoolsv2’ e ‘mimelib2’, foram carregados em julho de 2025 e já não estão mais disponíveis para download. Segundo a pesquisadora Lucija Valentić, da ReversingLabs, esses pacotes ocultavam comandos maliciosos que instalavam malware downloader em sistemas afetados. Embora os pacotes em si não tentassem disfarçar sua funcionalidade maliciosa, os projetos do GitHub que os importaram foram elaborados para parecerem legítimos. A investigação revelou que esses pacotes estavam associados a uma rede de repositórios GitHub que alegavam ser bots de negociação de criptomoedas, visando principalmente desenvolvedores e usuários de criptomoedas. A técnica de usar contratos inteligentes para ocultar URLs de payloads é uma nova abordagem que os atacantes estão adotando para evitar a detecção. A ReversingLabs alerta que é crucial que os desenvolvedores avaliem cuidadosamente cada biblioteca antes de integrá-la em seus projetos, considerando não apenas os números de downloads e mantenedores, mas também a credibilidade dos desenvolvedores por trás dos pacotes.

Recentemente, o pacote npm ’nx’, amplamente utilizado para gerenciamento de código, foi alvo de um ataque cibernético que comprometeu a segurança de cerca de 100 mil contas. Os hackers exploraram uma vulnerabilidade na cadeia logística do pacote, permitindo a publicação de versões maliciosas que escaneavam sistemas de arquivos em busca de credenciais. Essas informações eram então enviadas para um repositório no GitHub sob a conta da vítima. O ataque afetou principalmente usuários de sistemas Linux e macOS, e as versões comprometidas foram rapidamente removidas do registro. A vulnerabilidade foi introduzida em um workflow do GitHub em 21 de agosto e, apesar de ter sido revertida, os criminosos conseguiram explorar um branch desatualizado. Pesquisadores de segurança alertam que este é o primeiro incidente conhecido a utilizar assistentes de desenvolvimento com IA, como Claude Code e Google Gemini CLI, para burlar a segurança. Os usuários afetados são aconselhados a alterar suas credenciais e verificar arquivos de configuração em busca de instruções maliciosas.

O artigo de Arthur Capella discute os riscos de segurança na nuvem, destacando que a evolução dessa tecnologia, embora traga benefícios, também aumenta as oportunidades para atacantes. O Relatório de Riscos de Segurança na Nuvem 2025 da Tenable revela que erros comuns, como credenciais esquecidas e configurações inadequadas, expõem dados críticos diariamente. O autor enfatiza a necessidade de uma abordagem proativa para a segurança, que inclua visibilidade unificada dos ativos, configurações seguras por padrão, monitoramento constante e priorização na correção de vulnerabilidades. Essas práticas são essenciais para proteger ambientes em constante mudança e garantir que as empresas possam inovar com confiança. A segurança não deve ser vista como um obstáculo, mas como um facilitador para a adoção de novas tecnologias, permitindo que as organizações avancem no mundo digital de forma segura.

Especialistas em cibersegurança, como os da ThreatFabric, alertam sobre a evolução dos malwares para Android, que agora utilizam aplicativos do tipo dropper para instalar não apenas trojans bancários, mas também ladrões de SMS e spywares básicos. Apesar das recentes proteções implementadas pelo Google em mercados como Brasil, Cingapura, Índia e Tailândia, que visam impedir a instalação de aplicativos suspeitos fora da Play Store, os hackers estão se adaptando. Eles criam droppers que evitam a detecção ao baixar malwares após a instalação do aplicativo, contornando assim o Play Protect, que verifica os aplicativos antes de serem executados. Uma nova tática utilizada pelos criminosos é a exibição de telas de atualização que parecem inofensivas, mas que na verdade solicitam permissões para instalar malwares. Isso significa que, mesmo com as proteções, o usuário pode acabar aceitando a instalação de vírus, especialmente se ignorar os avisos do Google. O Google afirma que continua a melhorar suas proteções e que aplicativos maliciosos são constantemente removidos da Play Store. No entanto, a vulnerabilidade humana permanece um fator crítico na segurança dos dispositivos Android.

A Jaguar Land Rover (JLR) enfrentou um ataque cibernético que causou interrupções significativas em suas operações de produção e varejo. A empresa confirmou o incidente em seu site corporativo, informando que tomou medidas imediatas para mitigar os danos, incluindo o desligamento proativo de seus sistemas. O ataque, que ocorreu no último domingo, afetou principalmente duas de suas principais fábricas no Reino Unido, resultando na suspensão das atividades e na orientação para que os funcionários ficassem em casa. Embora a empresa tenha afirmado que não há evidências de roubo de dados de clientes, as operações de varejo e produção foram severamente impactadas. A Tata Motors, controladora da JLR, descreveu o evento como um ‘incidente de segurança de TI’ que está causando problemas globais. Até o momento, nenhum grupo assumiu a responsabilidade pelo ataque, e a natureza exata do mesmo permanece incerta, embora a possibilidade de ransomware ou roubo de dados seja considerada. A Agência Nacional do Crime do Reino Unido está colaborando com a JLR para entender melhor o impacto do incidente.

A PagerDuty confirmou uma violação de segurança que permitiu o acesso não autorizado a contas do Salesforce, devido a uma vulnerabilidade na integração OAuth do aplicativo Drift da Salesloft. Embora as credenciais principais da PagerDuty não tenham sido comprometidas, a empresa desativou proativamente a integração para proteger os dados dos clientes. O incidente começou em 20 de agosto de 2025, quando a PagerDuty foi notificada sobre uma falha de segurança. Em 23 de agosto, a Salesloft confirmou que atacantes haviam explorado essa falha, permitindo o sequestro do processo de troca de tokens no fluxo de autorização OAuth 2.0. A PagerDuty tomou medidas imediatas, revogando todos os tokens de acesso ativos e realizando uma auditoria em seus logs do Salesforce. Apesar de não haver exposição de senhas ou credenciais da plataforma, dados de clientes armazenados no Salesforce podem ter sido revelados. A PagerDuty recomenda que os usuários verifiquem solicitações de dados e reforcem a autenticação multifatorial em contas críticas, dada a possibilidade de tentativas de phishing e engenharia social.

O grupo de ransomware Dire Wolf, que surgiu em maio de 2025, rapidamente se tornou uma ameaça significativa à cibersegurança, atacando organizações em diversas indústrias e regiões. Desde seu primeiro ataque, que resultou na divulgação de seis vítimas em um site da darknet, o grupo tem utilizado uma estratégia de dupla extorsão, combinando a criptografia de dados com ameaças de vazamento de informações.

A técnica de criptografia do Dire Wolf é sofisticada, utilizando algoritmos como Curve25519 e ChaCha20, o que torna a recuperação de dados extremamente difícil. O ransomware não utiliza arquivos de configuração tradicionais, mas sim argumentos de linha de comando para controle, e implementa um sistema de mutex para evitar execuções múltiplas. Além disso, o malware apaga cópias de sombra e interrompe serviços essenciais, eliminando opções de recuperação.

Um grupo de ciberespionagem vinculado ao Irã foi identificado como responsável por uma campanha de spear-phishing coordenada, visando embaixadas e consulados na Europa e em outras regiões do mundo. A empresa de cibersegurança israelense Dream atribuiu a atividade a operadores alinhados ao Irã, conectados a um esforço mais amplo de espionagem cibernética. Os ataques utilizaram e-mails que se disfarçavam como comunicações diplomáticas legítimas, explorando tensões geopolíticas entre o Irã e Israel. Os e-mails continham documentos do Microsoft Word maliciosos que, ao serem abertos, solicitavam aos destinatários que habilitassem macros, permitindo a execução de um código VBA que implantava um malware. Os alvos incluíram embaixadas, consulados e organizações internacionais em várias partes do mundo, com foco particular na Europa e na África. A campanha foi realizada a partir de 104 endereços de e-mail comprometidos, incluindo um que pertencia ao Ministério das Relações Exteriores de Omã. O objetivo final dos ataques era estabelecer persistência no sistema da vítima, contatar um servidor de comando e controle e coletar informações do sistema. A ClearSky, outra empresa de cibersegurança, também observou que técnicas semelhantes foram usadas em ataques anteriores, sugerindo uma continuidade nas táticas dos atores de ameaça iranianos.

Em janeiro de 2025, a empresa chinesa de inteligência artificial DeepSeek sofreu um vazamento de dados que comprometeu mais de 1 milhão de registros sensíveis. A Wiz Research identificou um banco de dados ClickHouse acessível publicamente, permitindo controle total sobre as operações do banco, incluindo acesso a dados internos como histórico de chats e chaves secretas. Embora a DeepSeek tenha rapidamente corrigido a exposição, o incidente destaca os riscos associados ao vazamento de dados, que podem ser intencionais, como ataques de phishing, ou não intencionais, como erros humanos. Os vetores comuns de vazamento incluem configurações inadequadas de armazenamento em nuvem, vulnerabilidades em dispositivos finais e falhas na comunicação por e-mail. As consequências de tais vazamentos podem ser devastadoras, incluindo multas severas por não conformidade com regulamentos como o GDPR e o CCPA, perda de propriedade intelectual e danos à reputação da empresa. Para mitigar esses riscos, as organizações devem implementar práticas como acesso de menor privilégio, prevenção de perda de dados (DLP), classificação de dados sensíveis, auditorias e treinamento adequado para funcionários.

Recentemente, a ferramenta de segurança ofensiva HexStrike AI, que utiliza inteligência artificial para automatizar a descoberta de vulnerabilidades, está sendo explorada por atores maliciosos para tirar proveito de falhas de segurança recém-divulgadas. De acordo com um relatório da Check Point, esses indivíduos estão utilizando a plataforma, que integra mais de 150 ferramentas de segurança, para realizar ataques em sistemas vulneráveis, como os da Citrix. A ferramenta, que deveria fortalecer a defesa cibernética, está sendo rapidamente adaptada para fins de exploração, aumentando a eficiência dos ataques e reduzindo o tempo entre a divulgação pública de falhas e sua exploração em massa. A Check Point alerta que essa situação representa uma mudança significativa na forma como as vulnerabilidades são exploradas, permitindo que ataques sejam realizados de maneira automatizada e em larga escala. Os pesquisadores também destacam que agentes de cibersegurança baseados em IA, como o PentestGPT, apresentam riscos elevados de injeção de comandos, transformando ferramentas de segurança em vetores de ataque. A recomendação imediata é que as organizações atualizem e reforcem seus sistemas para mitigar esses riscos.

Em agosto de 2025, a empresa de cibersegurança Cyfirma identificou o Inf0s3c Stealer, um malware baseado em Python que visa sistemas Windows e exfiltra dados através do Discord. O malware, um executável portátil de 64 bits, utiliza técnicas de empacotamento duplo com UPX e PyInstaller, dificultando a detecção por assinaturas e a engenharia reversa. Ao ser executado, ele coleta informações do sistema, como detalhes de hardware e parâmetros de rede, e realiza capturas de tela e imagens da webcam, se autorizado. A fase final do ataque foca no roubo de credenciais, extraindo dados de perfis de navegadores e senhas de Wi-Fi. Os dados coletados são organizados em pastas e enviados para um webhook malicioso no Discord, disfarçado em tráfego HTTPS legítimo. Para persistência, o malware se copia na pasta de Inicialização do Windows e pode desativar serviços antivírus. Para mitigar essa ameaça, recomenda-se a implementação de proteção de endpoint baseada em comportamento, filtragem de saída rigorosa e monitoramento de atividades suspeitas. A situação exige atenção, especialmente para organizações que utilizam o Discord e outras plataformas afetadas.

O recente lançamento do framework Hexstrike-AI representa uma mudança significativa na ofensiva cibernética, permitindo que hackers explorem vulnerabilidades zero-day em questão de minutos. O Hexstrike-AI, que combina mais de 150 agentes de IA especializados, foi rapidamente utilizado para explorar falhas críticas no Citrix NetScaler ADC e Gateway, resultando em execução remota de código não autenticado. Essa ferramenta, inicialmente projetada para testes de segurança, agora serve como um motor escalável para ataques reais, reduzindo o tempo de exploração de dias para menos de dez minutos. As vulnerabilidades identificadas incluem CVE-2025-7775, que já está sendo explorada ativamente, e outras duas, CVE-2025-7776 e CVE-2025-8424, que ainda não foram confirmadas, mas apresentam riscos significativos. A rápida adoção do Hexstrike-AI por atores maliciosos destaca a necessidade urgente de as organizações implementarem defesas mais robustas, como sistemas de detecção baseados em IA e ciclos de patching mais curtos, para se protegerem contra essa nova realidade de ataques cibernéticos.

Os usuários de Android em todo o mundo devem instalar imediatamente o patch de segurança de setembro de 2025 para proteger seus dispositivos contra vulnerabilidades de alta severidade que estão sendo ativamente exploradas. Lançada em 1º de setembro de 2025, a atualização aborda várias falhas críticas, incluindo duas que já foram confirmadas como alvo de exploração limitada e direcionada.

As vulnerabilidades mais preocupantes incluem uma falha de execução remota de código no componente do sistema, que permite a execução de código arbitrário sem privilégios adicionais ou interação do usuário. Além disso, duas falhas de Elevação de Privilégios (EoP) no Android Runtime e no Sistema, ambas classificadas como de alta severidade, também requerem atenção imediata.

O BruteForceAI é uma nova ferramenta de teste de penetração que utiliza Modelos de Linguagem de Grande Escala (LLMs) para automatizar e otimizar ataques de força bruta em páginas de login. Desenvolvido pelo pesquisador de cibersegurança Mor David, o BruteForceAI apresenta um fluxo de trabalho de ataque em duas etapas: a primeira envolve uma análise inteligente do formulário de login, onde um LLM identifica elementos como nome de usuário e senha, reduzindo a necessidade de configuração manual. A segunda etapa executa ataques de alta velocidade, utilizando modos como força bruta clássica e Password Spray, que aplica uma única senha a múltiplos usuários.

A Salesloft anunciou a desativação temporária do Drift, seu produto de chatbot, em resposta a um ataque cibernético em larga escala que comprometeu tokens de autenticação. O ataque, atribuído ao grupo de ameaças UNC6395, afetou mais de 700 organizações, incluindo grandes nomes como Google Workspace e Palo Alto Networks. O incidente começou em 8 de agosto de 2025 e se estendeu até pelo menos 18 de agosto de 2025, quando os atacantes utilizaram tokens OAuth roubados para acessar instâncias do Salesforce de clientes do Drift. A empresa está colaborando com parceiros de cibersegurança, como Mandiant e Coalition, para investigar e mitigar os danos. Como medida preventiva, a Salesforce desativou todas as integrações do Salesloft com sua plataforma. A Salesloft enfatizou que a segurança e a integridade dos dados dos clientes são suas principais prioridades e que o sistema será revisado para aumentar sua resiliência e segurança antes de ser reativado.

No dia 3 de setembro de 2025, a Cloudflare anunciou que conseguiu mitigar um ataque DDoS volumétrico recorde, que atingiu picos de 11,5 terabits por segundo (Tbps). O ataque, que durou apenas 35 segundos, foi classificado como um ‘flood’ UDP e teve origem principalmente na Google Cloud. A empresa destacou que, nas semanas anteriores, bloqueou centenas de ataques DDoS de alta volumetria, com o maior deles alcançando 5,1 Bpps. Os ataques volumétricos têm como objetivo sobrecarregar um servidor com um grande volume de tráfego, resultando em lentidão ou falhas no serviço. Além disso, esses ataques podem servir como uma cortina de fumaça para ataques mais sofisticados, permitindo que os invasores explorem vulnerabilidades e acessem dados sensíveis. A Cloudflare já havia reportado um ataque DDoS de 7,3 Tbps em maio de 2025, e a quantidade de ataques DDoS hiper-volumétricos aumentou significativamente no segundo trimestre de 2025. O artigo também menciona a operação de desmantelamento de uma botnet chamada RapperBot, que visava dispositivos IoT, como gravadores de vídeo em rede (NVRs), para realizar ataques DDoS. Essa situação ressalta a necessidade de vigilância constante e atualização das defesas de segurança em um cenário de ameaças em evolução.

Pesquisadores de cibersegurança revelaram um novo backdoor chamado MystRodX, que se destaca por suas características furtivas e flexíveis, permitindo a captura de dados sensíveis de sistemas comprometidos. Desenvolvido em C++, o MystRodX, também conhecido como ChronosRAT, possui funcionalidades como gerenciamento de arquivos, redirecionamento de portas e shell reverso. A sua capacidade de se ocultar é aprimorada pelo uso de múltiplos níveis de criptografia, enquanto a flexibilidade permite a escolha entre diferentes protocolos de comunicação e métodos de criptografia para proteger o tráfego de rede.

O grupo de ameaças vinculado à Coreia do Norte, conhecido como Lazarus Group, foi associado a uma campanha de engenharia social que distribui três tipos diferentes de malware multiplataforma: PondRAT, ThemeForestRAT e RemotePE. A campanha, observada pela Fox-IT do NCC Group em 2024, visou uma organização do setor de finanças descentralizadas (DeFi), resultando na violação do sistema de um funcionário. O ataque começou com o ator se passando por um empregado de uma empresa de negociação no Telegram e utilizando sites falsos que imitam serviços como Calendly e Picktime para agendar uma reunião com a vítima. Embora o vetor de acesso inicial não seja conhecido, o acesso foi utilizado para implantar um loader chamado PerfhLoader, que, por sua vez, instala o PondRAT. Este malware permite ao operador ler e escrever arquivos, iniciar processos e executar shellcode. O PondRAT foi utilizado em conjunto com o ThemeForestRAT, que possui funcionalidades mais avançadas e opera de forma mais discreta. O ataque também envolveu o uso de um exploit zero-day no navegador Chrome, evidenciando a sofisticação da operação. O RemotePE, um RAT mais avançado, é reservado para alvos de alto valor e é carregado por um loader específico. A combinação de ferramentas e a abordagem furtiva do ataque indicam um nível elevado de planejamento e execução por parte do grupo.

O Google anunciou uma nova medida de segurança para a Play Store, chamada Verificação de Desenvolvedor, que entrará em vigor em 2026. Essa iniciativa visa impedir que aplicativos de terceiros, especialmente aqueles de desenvolvedores anônimos, sejam publicados na loja, reduzindo assim o risco de infecções por malware. Desde agosto de 2023, os desenvolvedores já precisam fornecer um número D-U-N-S para publicar aplicativos, o que já ajudou a diminuir a quantidade de malwares. A nova verificação exigirá que todos os aplicativos instalados em dispositivos Android venham de desenvolvedores com identidade verificada pelo Google. A medida é uma resposta ao aumento de malwares, que, segundo o Google, são 50 vezes mais comuns em aplicativos baixados da internet do que na Play Store. A partir de setembro de 2026, a verificação de identidade será obrigatória em países como Brasil, Indonésia, Cingapura e Tailândia, e se expandirá globalmente em 2027. Dispositivos Android certificados, que passaram pelo Teste de Compatibilidade da Google, serão os únicos a permitir a instalação de aplicativos verificados, enquanto dispositivos não certificados continuarão a operar com APKs de desenvolvedores anônimos.

Um estudo da empresa de cibersegurança UpGuard revelou uma falha crítica em grandes modelos de linguagem (LLMs) que permitiu o vazamento de conversas entre usuários e chatbots, especialmente aqueles voltados para roleplaying. Essas interações, que muitas vezes envolvem cenários íntimos e fantasias, resultaram na exposição de segredos pessoais na internet em tempo real, levantando preocupações sobre a privacidade e segurança dos dados dos usuários. A falha está relacionada a configurações inadequadas do framework de código aberto llama.cpp, utilizado na execução de LLMs. Embora a UpGuard não tenha revelado quais chatbots foram afetados, o incidente destaca a vulnerabilidade dos usuários a ameaças como chantagem e sextorsion. Especialistas alertam que a falta de protocolos de segurança adequados na implementação desses modelos é um problema sério. Além disso, o fenômeno de usuários desenvolvendo laços emocionais com chatbots pode levar ao compartilhamento de informações pessoais sensíveis, aumentando o risco de abusos. A UpGuard enfatiza a necessidade urgente de protocolos de segurança mais robustos e discussões sobre o impacto social de serviços de companheirismo e pornografia baseados em IA, que atualmente carecem de regulamentação.

Pesquisadores da Bitdefender alertam sobre uma nova campanha de cibercriminosos que utiliza anúncios falsos no Facebook e Telegram para disseminar o spyware Brokewell em dispositivos Android. O malware, que se disfarça como aplicativos legítimos como o TradingView, tem como alvo usuários específicos na União Europeia, prometendo versões gratuitas de aplicativos premium e itens de alto valor. Desde sua aparição em abril de 2024, o Brokewell evoluiu para um spyware e um trojan de acesso remoto (RAT), permitindo que os atacantes obtenham permissões administrativas e controlem completamente os dispositivos infectados. Uma vez instalado, o malware pode roubar criptomoedas, contornar autenticações de dois fatores e monitorar atividades sensíveis, como mensagens de texto e gravações de áudio e vídeo. Para se proteger, os especialistas recomendam evitar clicar em anúncios de redes sociais, verificar a autenticidade dos sites acessados e revisar as permissões solicitadas pelos aplicativos. A situação é alarmante, especialmente considerando a centralização das finanças pessoais em dispositivos móveis.

A Palo Alto Networks, através da sua unidade de resposta a incidentes, Unit 42, confirmou um ataque à cadeia de suprimentos que resultou na exposição de dados de clientes por meio da integração Drift da Salesloft com o Salesforce. O ataque foi identificado após o uso não autorizado de tokens de API, levando a equipe de segurança a revogar credenciais de fornecedores e isolar a aplicação comprometida. Embora centenas de organizações tenham sido afetadas, a resposta rápida da Palo Alto garantiu a resiliência operacional e a ausência de impacto em seus produtos principais.

Um estudo recente revelou que agentes de cibersegurança alimentados por inteligência artificial (IA) estão vulneráveis a ataques de injeção de prompt, um novo vetor de ameaça que pode comprometer redes inteiras. Esses ataques exploram a capacidade dos Modelos de Linguagem de Grande Escala (LLMs) de interpretar comandos em linguagem natural, transformando respostas confiáveis em comandos não autorizados. O processo do ataque ocorre em quatro etapas: reconhecimento, recuperação de conteúdo, decodificação de comandos e execução de um shell reverso, permitindo que atacantes obtenham acesso total ao sistema em menos de 20 segundos. Além da obfuscação básica em base64, o estudo identificou seis vetores adicionais que aumentam o risco, como a exfiltração de variáveis de ambiente e ataques homográficos em Unicode. Para mitigar essa ameaça, os pesquisadores propuseram uma arquitetura de defesa em quatro camadas, que inclui isolamento de operações, proteção contra padrões suspeitos e validação em múltiplas camadas. Testes mostraram que essas defesas conseguiram bloquear todas as tentativas de injeção, embora com um pequeno aumento na latência. Essa vulnerabilidade representa um risco significativo para a segurança cibernética, exigindo atenção imediata de profissionais da área.

Um ataque DDoS volumétrico sem precedentes, atingindo 11,5 terabits por segundo (Tbps), foi detectado e neutralizado pela Cloudflare em 1º de setembro de 2025. O ataque, que durou apenas 35 segundos, originou-se principalmente de recursos comprometidos na Google Cloud Platform, utilizando o protocolo UDP para inundar servidores-alvo com pacotes, esgotando sua largura de banda e recursos. A Cloudflare conseguiu mitigar o ataque rapidamente por meio de seu sistema automatizado de defesa, que combina detecção de anomalias baseada em aprendizado de máquina com filtragem de pacotes. Este incidente destaca a crescente tendência de adversários que exploram recursos de nuvem pública para criar botnets capazes de gerar tráfego em larga escala. A empresa planeja publicar uma análise técnica detalhada para ajudar a comunidade de cibersegurança a desenvolver defesas mais robustas contra essas ameaças. À medida que as táticas de DDoS evoluem, ataques hipervolumétricos representam um risco significativo para serviços online e infraestrutura crítica.

Uma vulnerabilidade crítica foi identificada no componente do servidor web ESPHome na plataforma ESP-IDF, permitindo que hackers acessem dispositivos de casa inteligente sem credenciais válidas. O problema decorre do manuseio inadequado do cabeçalho de autenticação HTTP Basic, que anula efetivamente a autenticação nos dispositivos afetados. A falha permite que qualquer prefixo da string de credenciais correta, incluindo uma string vazia, passe na verificação de autenticação. Isso significa que um invasor pode obter acesso completo à interface do servidor web, incluindo a funcionalidade de atualização Over-the-Air (OTA), sem necessidade de conhecimento de usuário ou senha. As implicações de segurança são graves, pois permitem o controle não autenticado de dispositivos como luzes e fechaduras, além da possibilidade de injeção de firmware malicioso. A vulnerabilidade foi corrigida nas versões ESPHome 2025.8.1 e posteriores. Enquanto os dispositivos não forem atualizados, recomenda-se desativar o componente web_server e implementar controles de rede para restringir o acesso. Fabricantes devem incentivar os usuários a aplicar as atualizações imediatamente, uma vez que manter o software atualizado é crucial para a segurança dos ambientes conectados.

Pesquisadores de cibersegurança identificaram uma rede de IPs ucranianos envolvida em campanhas massivas de força bruta e ‘password spraying’ direcionadas a dispositivos SSL VPN e RDP entre junho e julho de 2025. A atividade se originou de um sistema autônomo baseado na Ucrânia, o FDN3 (AS211736), que faz parte de uma infraestrutura abusiva mais ampla, incluindo outras redes ucranianas e um sistema baseado nas Seychelles. Essas redes, alocadas em agosto de 2021, frequentemente trocam prefixos IPv4 para evitar bloqueios e continuar suas atividades maliciosas. Os ataques, que atingiram um pico recorde entre 6 e 8 de julho de 2025, são utilizados por grupos de ransomware como vetor inicial para invadir redes corporativas. A análise também revelou conexões com provedores de hospedagem ‘bulletproof’, que oferecem anonimato e facilitam a continuidade das atividades maliciosas. A situação é preocupante, pois destaca a vulnerabilidade de tecnologias amplamente utilizadas, como VPNs e RDPs, que são alvos frequentes de ataques cibernéticos.

Um relatório do MIT revelou que 40% das organizações adquiriram assinaturas de LLMs empresariais, mas mais de 90% dos funcionários utilizam ferramentas de IA no dia a dia. A pesquisa da Harmonic Security indica que 45,4% das interações sensíveis com IA ocorrem em contas de e-mail pessoais, o que levanta preocupações sobre a chamada ‘Economia de IA Sombra’. Essa situação ocorre porque a adoção de IA é impulsionada pelos funcionários, e não por diretrizes corporativas. Muitas empresas tentam bloquear o acesso a plataformas de IA, mas essa estratégia falha, pois a IA está integrada em quase todos os aplicativos SaaS. Para mitigar riscos, as equipes de segurança precisam entender e governar o uso de IA, tanto em contas autorizadas quanto não autorizadas. A descoberta da IA Sombra é essencial para manter a conformidade regulatória e proteger dados sensíveis. A Harmonic Security oferece soluções para monitorar o uso de IA e aplicar políticas de governança adequadas, permitindo que as empresas se beneficiem da produtividade da IA, enquanto protegem suas informações.

Uma avaliação recente de cibersegurança realizada pela equipe HUNTER da Resecurity revelou uma falha crítica no Azure Active Directory (Azure AD), onde credenciais de aplicativos, como ClientId e ClientSecret, foram expostas em um arquivo appsettings.json acessível publicamente. Essa configuração inadequada permite que atacantes realizem solicitações de token não autorizadas contra os endpoints OAuth 2.0 da Microsoft, possibilitando acesso direto a dados do Microsoft Graph e Microsoft 365.

No cenário revelado, o arquivo appsettings.json continha informações sensíveis que, se acessadas, permitem que um invasor execute o fluxo de credenciais do cliente OAuth 2.0, obtendo um token de acesso que concede acesso programático a endpoints da API Graph. Com isso, os atacantes podem recuperar dados sensíveis de serviços como SharePoint e OneDrive, enumerar usuários e grupos, e até mesmo implantar aplicativos maliciosos sob o inquilino comprometido.

Uma nova campanha de phishing sofisticada está afetando usuários do WhatsApp, onde mensagens enganosas de contatos, como “Oi, encontrei sua foto por acaso!”, são utilizadas para induzir cliques em links maliciosos. Ao clicar, as vítimas são redirecionadas para uma página falsa de login do Facebook, onde, ao inserir suas credenciais, os hackers conseguem explorar a funcionalidade de vinculação de dispositivos do WhatsApp. Isso permite que os atacantes assumam o controle total das conversas, mídias e contatos da vítima.

Entre junho e julho de 2025, uma campanha coordenada de ataques de força bruta e password-spraying visou dispositivos SSL VPN e RDP em todo o mundo, com foco em sistemas interconectados registrados na Ucrânia e nas Seychelles. Analistas de segurança identificaram a atividade como sendo atribuída ao FDN3 (AS211736), controlado por Dmytro Nedilskyi, que realizou centenas de milhares de tentativas de login em um curto período. Os ataques utilizaram listas de credenciais conhecidas e visaram portas RDP e SSL VPN, com uma taxa de tentativas de 5.000 a 10.000 por hora. A infraestrutura dos atacantes é altamente evasiva, utilizando trocas de prefixos para evitar bloqueios e manter a pressão sobre os alvos. As organizações são aconselhadas a adotar estratégias proativas de detecção e resposta, utilizando serviços de inteligência de ameaças para mitigar esses ataques antes que ocorram. A situação representa um risco significativo para empresas que utilizam essas tecnologias, especialmente em um cenário onde a proteção de dados é crucial.

Pesquisadores de segurança identificaram uma vulnerabilidade crítica, chamada AR-Slip, na versão 4.4.0 da ferramenta MobSF, que permite a usuários autenticados sobrescrever arquivos arbitrários no sistema de arquivos do host. Essa falha, registrada como GHSA-9gh8-9r95-3fc3, resulta de uma validação insuficiente de nomes de arquivos absolutos durante a extração de bibliotecas estáticas. O problema ocorre quando a função ar_extract não verifica adequadamente se os caminhos são relativos, permitindo que um atacante sobrescreva arquivos críticos, como bancos de dados e arquivos de configuração. Para mitigar os riscos, os usuários devem atualizar para a versão 4.4.1, que corrige essa vulnerabilidade ao normalizar os nomes dos arquivos e garantir que os caminhos de extração permaneçam dentro do diretório designado. A exploração dessa vulnerabilidade pode levar a distorções de integridade, interrupções de serviço e até mesmo escalonamento de privilégios em sistemas mal configurados. Portanto, é crucial que as equipes de segurança implementem práticas de verificação rigorosas para evitar tais falhas no futuro.

Os ataques de ransomware aumentaram em agosto de 2025, subindo de 473 em julho para 506, representando um crescimento de 7%. Este é o segundo mês consecutivo de alta após uma queda de março a junho. Um ataque inédito atingiu o Estado de Nevada, afetando serviços essenciais e deixando cidadãos sem acesso a informações críticas. Embora os ataques a governos continuem a ser uma preocupação, o setor de manufatura registrou um aumento significativo de 57% nos ataques, totalizando 113 incidentes. Em contraste, os setores de saúde e educação tiveram apenas um ataque confirmado cada, mas um número maior de ataques não confirmados. O grupo de ransomware mais ativo foi o Qilin, responsável por 86 ataques, seguido por Akira e Sinobi. No total, 30 ataques foram confirmados, com 17 direcionados a empresas e 11 a entidades governamentais. O impacto financeiro e operacional desses ataques é significativo, exigindo atenção especial dos CISOs, especialmente em setores críticos como saúde e manufatura.

Pesquisadores em cibersegurança descobriram um pacote npm malicioso chamado nodejs-smtp, que se disfarça como uma biblioteca de e-mail legítima (nodemailer) e tem como alvo aplicativos de desktop para carteiras de criptomoedas, como Atomic e Exodus, em sistemas Windows. Desde sua publicação em abril de 2025, o pacote teve 347 downloads antes de ser removido do registro npm. Ao ser importado, ele utiliza ferramentas do Electron para descompactar o arquivo app.asar da Atomic Wallet, substituindo um pacote legítimo por um payload malicioso e reempacotando o aplicativo, eliminando vestígios da operação. O principal objetivo é redirecionar transações de criptomoedas, como Bitcoin e Ethereum, para carteiras controladas pelo atacante, atuando como um ‘clipper’ de criptomoedas. Apesar de sua funcionalidade maliciosa, o pacote ainda opera como um mailer, o que reduz a suspeita dos desenvolvedores. Essa descoberta ressalta os riscos associados a importações rotineiras em estações de trabalho de desenvolvedores, que podem modificar silenciosamente aplicativos de desktop e persistir após reinicializações.