Cibersegurança

A Comissão Europeia apresentou uma nova proposta de legislação em cibersegurança que visa a remoção de fornecedores considerados de alto risco das redes de telecomunicações, com o objetivo de fortalecer a proteção contra grupos de cibercrime e ameaças estatais que visam a infraestrutura crítica. Essa iniciativa surge após anos de aplicação desigual da ‘5G Security Toolbox’, que incentivava os Estados-membros a reduzirem a dependência de fornecedores de alto risco, como empresas de tecnologia chinesas. O novo pacote de cibersegurança permitirá que a Comissão organize avaliações de risco em toda a UE e apoie restrições ou proibições de equipamentos utilizados em infraestruturas sensíveis. Além disso, a proposta inclui uma revisão da Lei de Cibersegurança, que facilitará os procedimentos de certificação para empresas e permitirá que a Agência da UE para a Cibersegurança (ENISA) emita alertas de ameaças e ajude na resposta a ataques de ransomware. A nova legislação entrará em vigor imediatamente após a aprovação pelo Parlamento Europeu e pelo Conselho da UE, com um ano para que os Estados-membros implementem as alterações em suas legislações nacionais.

O malware VoidLink, recentemente descoberto, é um framework avançado focado em ambientes de nuvem, desenvolvido por um único criador com auxílio de um modelo de inteligência artificial. De acordo com a Check Point Research, o VoidLink é um malware para Linux que inclui carregadores personalizados, implantes, módulos de rootkit para evasão e uma variedade de plugins que ampliam suas funcionalidades. A pesquisa sugere que o desenvolvedor possui forte proficiência em várias linguagens de programação, possivelmente originando-se da China.

Atuando sob a campanha Contagious Interview, hackers da Coreia do Norte têm explorado projetos maliciosos do Microsoft Visual Studio Code (VS Code) para implantar um backdoor em sistemas comprometidos. A técnica, descoberta em dezembro de 2025, envolve a instrução de alvos para clonarem repositórios no GitHub, GitLab ou Bitbucket e abrirem o projeto no VS Code como parte de uma avaliação de emprego. O ataque utiliza arquivos de configuração de tarefas do VS Code para executar cargas maliciosas hospedadas em domínios da Vercel, dependendo do sistema operacional da vítima. A configuração permite que comandos maliciosos sejam executados sempre que um arquivo do projeto é aberto. Além disso, os hackers têm disfarçado malware como dicionários de verificação ortográfica para evitar detecções. A comunicação com servidores remotos é estabelecida para facilitar a execução de código e coleta de informações do sistema. Os alvos preferenciais incluem engenheiros de software, especialmente aqueles nas áreas de criptomoeda e fintech, que possuem acesso privilegiado a ativos financeiros. A evolução das táticas dos atacantes reflete uma adaptação contínua para maximizar o sucesso em suas metas de ciberespionagem e financeiras, visando contornar sanções internacionais.

O Laboratório Nacional do Noroeste do Pacífico (PNNL) dos Estados Unidos desenvolveu um sistema inovador chamado ALOHA, que utiliza inteligência artificial para emular ameaças digitais de forma mais eficiente. Com essa nova ferramenta, o tempo necessário para recriar ataques e testar defesas foi reduzido de meses para apenas algumas horas. O ALOHA, que se baseia no modelo de linguagem Claude, automatiza a emulação de ameaças e gera até 20 táticas diferentes a partir de um malware original, permitindo que pesquisadores identifiquem vulnerabilidades e testem novas defesas de maneira mais rápida e eficaz. Essa inovação é especialmente relevante em um cenário onde a cibersegurança se tornou uma corrida armamentista entre hackers e organizações. O uso de IA generativa já é uma prática comum, mas o ALOHA promete otimizar ainda mais esse processo, ajudando equipes de segurança a responderem rapidamente a novas ameaças. A ferramenta também se integra com a plataforma Caldera, da MITRE, que já realiza parte desse trabalho, mas de forma mais lenta e detalhada. Com a crescente complexidade dos ataques cibernéticos, a implementação de soluções como o ALOHA pode ser um divisor de águas na proteção de sistemas críticos.

O Tudou Guarantee Marketplace, um serviço de transações ilícitas no Telegram, anunciou o encerramento de suas operações, segundo informações da empresa de análise de blockchain Elliptic. Este marketplace se destacou por processar mais de US$ 12 bilhões em transações, tornando-se o terceiro mais lucrativo da história. Apesar do fechamento, algumas atividades, como jogos de azar, ainda permanecem na plataforma. O Tudou Guarantee surgiu como uma alternativa após ações do Telegram para fechar mercados ilegais em 2025, atraindo clientes de outros serviços. A plataforma oferecia uma variedade de produtos e serviços ilegais, incluindo dados pessoais roubados e softwares de deepfake. A decisão de encerrar as operações pode estar relacionada a uma ação policial contra o conglomerado cambojano Prince Group. Especialistas alertam que, apesar do fechamento, o combate a esses mercados ilegais ainda é um desafio, especialmente com a crescente sofisticação das fraudes. O fundador da Elliptic, Tom Robinson, destacou que o Telegram não tem tomado medidas efetivas contra esses mercados, o que complica ainda mais a situação.

Um relatório recente da Check Point revelou que a Microsoft lidera o ranking de empresas mais atacadas por phishing, representando 22% das tentativas de golpe. Outras grandes empresas do setor de tecnologia, como Google (13%), Amazon (9%), Apple (8%) e Meta (3%), também foram significativamente afetadas. O estudo destacou que o setor de tecnologia é o principal alvo dos golpistas, que frequentemente utilizam páginas falsas para enganar os usuários e coletar informações sensíveis, como senhas e dados bancários. A pesquisa também observou um aumento nas tentativas de phishing durante períodos de alta demanda, como as compras de Natal, onde a Amazon foi particularmente visada. Além disso, o relatório identificou que empresas como PayPal, Adobe e Booking também enfrentaram tentativas de phishing, embora em menor escala. O ambiente de trabalho se torna um campo minado para esses ataques, especialmente devido à centralidade das credenciais de serviços como Microsoft e Google na autenticação e produtividade. Os especialistas alertam que a proteção contra esses golpes deve ser uma prioridade constante para as empresas de tecnologia.

O novo sitcom esportivo ‘The Fall and Rise of Reggie Dinkins’, estrelado por Tracy Morgan e Daniel Radcliffe, estreou no dia 18 de janeiro de 2026, após o NFL, e já está disponível para streaming gratuito no CTV, no Canadá. A série segue Reggie Dinkins, um jogador de futebol em decadência que busca redenção. O episódio piloto recebeu críticas mistas, com alguns elogiando o humor e outros criticando o ritmo lento. Para os fãs fora do Canadá, é possível assistir ao programa utilizando uma VPN, como a NordVPN, que permite contornar bloqueios geográficos. Nos Estados Unidos, os episódios são transmitidos pela NBC e ficam disponíveis no Peacock no dia seguinte, com uma assinatura a partir de $7,99 por mês. No Reino Unido e na Austrália, ainda não há datas de lançamento confirmadas. A série promete abordar temas de superação e confrontação com o passado, com um elenco que inclui Erika Alexander e Bobby Moynihan.

As equipes de segurança enfrentam o desafio de detectar e responder a ataques em tempo real, frequentemente utilizando ferramentas que não escolheram e fluxos de trabalho que não foram projetados para lidar com ameaças reais. Um webinar ao vivo, promovido pela BleepingComputer, contará com a participação de Adrian Sanabria e David Girvin, da Sumo Logic, e abordará como alinhar as prioridades executivas com as operações de segurança. O evento, intitulado “Falha na comunicação: Por que executivos não compram ferramentas para SOCs”, discutirá a desconexão entre as decisões de compra de plataformas e as realidades operacionais. Muitas vezes, a seleção de ferramentas ignora as necessidades práticas dos defensores de linha de frente, resultando em fadiga de alertas e fluxos de trabalho ineficientes. A Sumo Logic, uma plataforma de análise e segurança nativa da nuvem, busca simplificar a complexidade e extrair sinais reais de ferramentas barulhentas, enfatizando automação e visibilidade. O webinar oferecerá estratégias para melhorar a avaliação das ferramentas, medir o valor operacional real e fortalecer a colaboração entre executivos e praticantes. Os participantes aprenderão sobre as capacidades essenciais que as equipes de segurança realmente dependem e como extrair valor das ferramentas já existentes.

O artigo destaca a crescente preocupação com ataques baseados em identidade, que se tornaram a principal ameaça enfrentada por organizações. Com métodos como phishing, vazamento de senhas e engenharia social, os atacantes não precisam mais ‘invadir’ sistemas, mas sim ‘fazer login’ em contas comprometidas. Uma vez dentro, eles podem se espalhar rapidamente, causando danos significativos. Para mitigar esses riscos, as empresas devem adotar uma abordagem proativa, implementando medidas como autenticação multifator (MFA), controle de acesso baseado no Princípio do Menor Privilégio (PoLP) e, principalmente, soluções de Detecção e Resposta a Ameaças de Identidade (ITDR). Essas ferramentas oferecem visibilidade detalhada sobre eventos de TI, permitindo que as equipes de segurança identifiquem comportamentos suspeitos e respondam rapidamente. A plataforma tenfold é apresentada como uma solução integrada que combina governança de identidade e segurança, facilitando a automação de processos e a auditoria de eventos. O artigo enfatiza a importância de entender o comportamento normal dos usuários para detectar atividades maliciosas e sugere que as organizações adotem uma postura de ‘melhor prevenir do que remediar’.

Pesquisadores de cibersegurança revelaram uma nova campanha de malware chamada Evelyn Stealer, que visa desenvolvedores de software através do ecossistema de extensões do Microsoft Visual Studio Code (VS Code). O malware é projetado para exfiltrar informações sensíveis, como credenciais de desenvolvedores e dados relacionados a criptomoedas. A Trend Micro destacou que ambientes de desenvolvimento comprometidos podem ser usados como pontos de acesso a sistemas organizacionais mais amplos.

A campanha foi inicialmente documentada pela Koi Security, que identificou três extensões maliciosas do VS Code que baixam um DLL downloader. Este downloader executa um comando PowerShell oculto para buscar e executar um segundo payload, que injeta o principal payload de roubo de informações em um processo legítimo do Windows. Entre os dados coletados estão conteúdos da área de transferência, aplicativos instalados, carteiras de criptomoedas, capturas de tela da área de trabalho e credenciais armazenadas em navegadores como Google Chrome e Microsoft Edge.

Pesquisadores de cibersegurança descobriram uma nova campanha de phishing que utiliza mensagens privadas em redes sociais, como o LinkedIn, para disseminar arquivos maliciosos, possivelmente com a intenção de implantar um Trojan de Acesso Remoto (RAT). A atividade envolve o envio de mensagens a indivíduos de alto valor, estabelecendo confiança e induzindo-os a baixar um arquivo autoextraível do WinRAR. Este arquivo extrai quatro componentes: um leitor de PDF legítimo, uma DLL maliciosa, um executável do interpretador Python e um arquivo RAR que provavelmente serve como isca. A infecção é ativada quando o leitor de PDF é executado, permitindo que a DLL maliciosa seja carregada. O uso de DLL sideloading tem se tornado comum entre atacantes para evitar detecções. Nos últimos dias, pelo menos três campanhas documentadas utilizaram essa técnica para entregar malwares como LOTUSLITE e PDFSIDER. A DLL maliciosa instala o interpretador Python e cria uma chave de registro no Windows para garantir a execução automática em cada login. O payload final tenta se comunicar com um servidor externo, permitindo acesso remoto persistente e exfiltração de dados. Essa abordagem demonstra que ataques de phishing não se limitam a e-mails, explorando lacunas de segurança em plataformas de redes sociais, que geralmente têm menos monitoramento.

Um conjunto de três vulnerabilidades de segurança foi revelado no mcp-server-git, o servidor oficial do Protocolo de Contexto de Modelo Git (MCP) mantido pela Anthropic. Essas falhas podem ser exploradas para ler ou deletar arquivos arbitrários e executar código sob certas condições. Segundo o pesquisador Yarden Porat, da Cyata, a exploração ocorre por meio de injeção de prompt, permitindo que um atacante influencie o que um assistente de IA lê, como um README malicioso ou uma descrição de problema comprometida, sem acesso direto ao sistema da vítima. As vulnerabilidades, identificadas como CVE-2025-68143, CVE-2025-68144 e CVE-2025-68145, têm pontuações CVSS que variam de 7.1 a 8.8, indicando um risco elevado. Elas foram corrigidas nas versões 2025.9.25 e 2025.12.18, após divulgação responsável em junho de 2025. A exploração bem-sucedida pode permitir que um atacante transforme qualquer diretório em um repositório Git e acesse repositórios no servidor. Em resposta, a ferramenta git_init foi removida do pacote e validações adicionais foram implementadas. Usuários são aconselhados a atualizar para as versões mais recentes para garantir proteção adequada.

Um mercado de garantias baseado no Telegram, conhecido como Tudou Guarantee, está encerrando suas operações, conforme revelado por uma pesquisa da empresa de inteligência em blockchain Elliptic. Estima-se que o Tudou tenha processado mais de US$ 12 bilhões em transações, tornando-se o terceiro maior mercado ilícito da história. Embora suas operações de jogo ainda estejam ativas, a interrupção das transações em grupos públicos sugere uma possível mudança ou fechamento total. O Tudou se destacou como um centro para a venda de dados pessoais roubados, serviços de lavagem de dinheiro e plataformas fraudulentas, atraindo vendedores que anteriormente utilizavam o HuiOne Guarantee, que também foi fechado. A recente prisão do CEO do Prince Group, Chen Zhi, por envolvimento em um esquema de fraude de investimento, pode ter acelerado o declínio do Tudou. A Elliptic observa que, apesar do fechamento, a atividade criminosa provavelmente se dispersará para outros mercados. Em resposta, o governo dos EUA criou a Scam Center Strike Force para combater redes criminosas transnacionais na região, já confiscando US$ 401 milhões em criptomoedas relacionadas a fraudes.

A OpenAI anunciou uma oferta temporária que permite que alguns usuários ativem o ChatGPT Plus gratuitamente por um mês. Este plano, que normalmente custa $20 por mês nos Estados Unidos, é uma das três opções de assinatura disponíveis, que incluem também o ChatGPT Go a $8 e o ChatGPT Pro a $200. O ChatGPT Plus é ideal para tarefas que exigem raciocínio mais profundo, como redação, edição de documentos, aprendizado e pesquisa, além de análise de dados. Em comparação com o ChatGPT Go, o Plus oferece limites mais altos para mensagens, uploads de arquivos e memória, permitindo que o modelo lembre mais detalhes de conversas anteriores. A oferta é válida apenas para alguns usuários e pode ser cancelada a qualquer momento antes da renovação automática após um mês. Além disso, as versões gratuitas e Go começarão a exibir anúncios nas próximas semanas, o que pode impactar a experiência do usuário. O artigo também menciona um relatório sobre o orçamento de CISO para 2026, que pode ser relevante para líderes de segurança que buscam entender como priorizar investimentos em cibersegurança.

O ChatGPT Go, uma nova oferta da OpenAI, agora está disponível para usuários nos Estados Unidos e custa apenas $8, um valor significativamente menor que o plano ChatGPT Plus, que é de $20. Inicialmente restrito a países em desenvolvimento, o ChatGPT Go permite que os usuários façam upload de arquivos, criem imagens e acessem o modelo GPT 5.2 Instant com limites de uso ampliados. Além disso, oferece janelas de memória e contexto mais longas, permitindo que o modelo lembre-se de interações anteriores. No entanto, o ChatGPT Go não possui capacidades de raciocínio e é limitado ao modelo GPT 5.2 Instant, ao contrário do ChatGPT Plus, que permite acesso a modelos mais avançados e é voltado para tarefas que exigem raciocínio profundo. Existe também um plano ChatGPT Pro, que custa $200 por mês e oferece acesso total ao modelo mais poderoso, GPT-5.2 Pro, além de recursos adicionais. Para evitar anúncios, os usuários precisam assinar um dos planos pagos. A OpenAI também está implementando práticas de segurança para o novo protocolo Model Context Protocol (MCP), que conecta modelos de linguagem a ferramentas e dados, destacando a importância da segurança em serviços emergentes.

A Cisco anunciou a correção de uma vulnerabilidade crítica em seus roteadores, identificada como CVE-2025-20393, que permitia a execução remota de códigos no AsyncOS, afetando o Gateway de E-mail Seguro (SEG) e o Gerenciador Seguro de Web e E-mail (SEWM). A falha foi explorada por grupos de hackers chineses, incluindo UAT-9686, APT41 e UNC5174, durante pelo menos cinco semanas, desde novembro de 2025. Os atacantes conseguiram instalar mecanismos de persistência, como uma backdoor chamada Aquashell, que permitia o controle contínuo dos sistemas comprometidos. A Cisco recomenda que as organizações afetadas atualizem seus softwares imediatamente e contatem seu Centro de Assistência Técnica para suporte. Embora a empresa tenha corrigido a falha, não divulgou quantas instâncias foram comprometidas ou o número de organizações afetadas, o que levanta preocupações sobre a extensão do ataque e a segurança dos dados das vítimas.

Oleg Evgenievich Nefedov, suposto líder do grupo de ransomware Black Basta, foi incluído no alerta vermelho da Interpol durante uma operação conjunta entre autoridades policiais da Ucrânia e da Alemanha. Nefedov, um cidadão russo de 35 anos, é acusado de liderar um grupo que arrecadou ilegalmente centenas de milhões de dólares em criptomoedas, atacando mais de 500 empresas na América do Norte, Europa e Austrália desde 2022. Os membros do grupo são especializados em invasões técnicas e na extração de senhas, utilizando softwares específicos para realizar ciberataques e extorquir dinheiro das vítimas. Durante a operação, dois ucranianos foram identificados como suspeitos e tiveram suas residências vasculhadas, resultando na apreensão de dispositivos digitais e ativos em criptomoedas. Nefedov já havia sido preso em 2024 na Armênia, mas conseguiu escapar. Atualmente, seu paradeiro é desconhecido, embora se acredite que ele esteja na Rússia. O caso destaca a crescente ameaça de grupos de ransomware e a necessidade de uma resposta internacional coordenada para combater esses crimes cibernéticos.

Um ataque cibernético ao Canadian Investment Regulatory Organization (CIRO) resultou na exposição de dados sensíveis de aproximadamente 750 mil investidores canadenses. O incidente, que ocorreu em agosto de 2025, não comprometeu senhas ou PINs, mas revelou informações como datas de nascimento, números de telefone, renda anual, números de seguro social e documentos de identidade emitidos pelo governo. Embora a CIRO tenha realizado uma investigação minuciosa, gastando mais de 9.000 horas, e não tenha encontrado evidências de que os dados tenham vazado para a dark web, a situação ainda é preocupante. Os dados expostos podem ser utilizados em ataques de phishing, onde criminosos podem enganar as vítimas para que revelem suas credenciais de acesso. Para mitigar os riscos, a CIRO ofereceu dois anos de monitoramento de crédito e proteção contra roubo de identidade aos afetados. A comunicação com os indivíduos afetados será feita por e-mail, e aqueles que não receberem notificações podem entrar em contato diretamente com a organização.

Nicholas Moore, um homem de 24 anos de Springfield, Tennessee, se declarou culpado por invadir o sistema de arquivamento eletrônico da Suprema Corte dos Estados Unidos e acessar contas da AmeriCorps e do Departamento de Assuntos de Veteranos. Entre agosto e outubro de 2023, ele acessou o sistema da Suprema Corte pelo menos 25 vezes utilizando credenciais roubadas, muitas vezes logando várias vezes ao dia. Moore se gabou das invasões em sua conta no Instagram, @ihackedthegovernment, onde postou capturas de tela com detalhes dos sistemas invadidos e informações pessoais das vítimas. Além disso, ele acessou a conta da AmeriCorps de outra vítima sete vezes, obtendo dados pessoais sensíveis, e invadiu o portal de saúde do Departamento de Assuntos de Veteranos cinco vezes, expondo informações privadas de saúde de um veterano. Moore confessou um crime de fraude informática, que pode resultar em até um ano de prisão e uma multa de até 100 mil dólares.

O governo do Reino Unido emitiu um alerta sobre atividades maliciosas contínuas de grupos hacktivistas alinhados à Rússia, que estão visando a infraestrutura crítica e organizações governamentais locais através de ataques de negação de serviço distribuído (DDoS). Esses ataques têm como objetivo derrubar sites e desativar serviços, causando custos elevados para as organizações afetadas. O Centro Nacional de Segurança Cibernética (NCSC) destacou o grupo NoName057(16), que opera o projeto DDoSia, permitindo que voluntários contribuam com recursos computacionais para realizar ataques DDoS em troca de recompensas. Apesar de uma operação internacional que interrompeu parte das atividades do grupo em julho de 2025, os principais operadores ainda estão ativos, o que representa uma ameaça em evolução, especialmente para ambientes de tecnologia operacional (OT). Para mitigar os riscos de DDoS, o NCSC recomenda que as organizações compreendam seus serviços, fortaleçam defesas, projetem para escalabilidade rápida e testem continuamente suas defesas. Os hacktivistas russos têm se tornado uma ameaça crescente desde 2022, visando organizações em países que se opõem às ambições geopolíticas da Rússia.

Recentemente, um ataque de ransomware direcionado a uma empresa do setor financeiro da Fortune 100 utilizou uma nova variante de malware chamada PDFSider. Os atacantes empregaram engenharia social para se passar por trabalhadores de suporte técnico, induzindo funcionários a instalar a ferramenta Quick Assist da Microsoft. A Resecurity, empresa de cibersegurança, identificou o PDFSider como uma backdoor furtiva que permite acesso a longo prazo, com características associadas a técnicas de APT (Advanced Persistent Threat). O malware é distribuído por e-mails de spearphishing que contêm um arquivo ZIP com um executável legítimo e uma versão maliciosa de uma DLL necessária para o funcionamento do software. Ao ser executado, o malware carrega a DLL maliciosa, permitindo a execução de comandos no sistema. O PDFSider opera de forma discreta, utilizando criptografia avançada para proteger suas comunicações e mecanismos de anti-análise para evitar detecções. A Resecurity alerta que o PDFSider é mais próximo de um malware de espionagem do que de um ataque motivado financeiramente, destacando a crescente facilidade com que cibercriminosos exploram vulnerabilidades em softwares devido ao uso de IA na programação.

Pesquisadores de cibersegurança revelaram uma falha de segurança que permite a injeção de comandos no Google Gemini, possibilitando a extração de dados do Google Calendar. A vulnerabilidade, identificada por Liad Eliyahu, da Miggo Security, permite que um invasor crie um evento de calendário malicioso que, ao ser consultado pelo usuário, ativa um comando oculto que extrai informações privadas de reuniões. O ataque é ativado quando o usuário faz uma pergunta aparentemente inocente sobre sua agenda, levando o chatbot a gerar um novo evento que contém um resumo das reuniões privadas do usuário. Embora a falha tenha sido corrigida, o incidente destaca como as funcionalidades baseadas em inteligência artificial podem ampliar a superfície de ataque e introduzir novos riscos de segurança. Além disso, a pesquisa aponta que vulnerabilidades não se limitam mais ao código, mas também se manifestam na linguagem e no comportamento da IA em tempo real. O artigo também menciona outras vulnerabilidades em sistemas de IA, reforçando a necessidade de auditorias regulares e controles de segurança adequados em ambientes corporativos que utilizam essas tecnologias.

Pesquisadores da Universidade Católica de Leuven identificaram uma vulnerabilidade crítica no protocolo Fast Pair da Google, chamada WhisperPair (CVE-2025-36911), que afeta centenas de milhões de fones de ouvido e microfones Bluetooth. Essa falha permite que hackers sequestram dispositivos de áudio, possibilitando o rastreamento de usuários e a escuta de conversas sem o consentimento da vítima. A vulnerabilidade decorre de uma má implementação do protocolo, que deveria ignorar pedidos de pareamento não autorizados, mas que foi negligenciada por diversos fabricantes. Dispositivos de marcas como Google, JBL, Sony e Xiaomi estão entre os afetados, permitindo conexões a até 14 metros de distância. Após a descoberta, a Google premiou os pesquisadores com US$ 15.000 e está colaborando com os fabricantes para lançar correções. No entanto, a única defesa disponível para os usuários é a instalação de atualizações de firmware, já que desabilitar o Fast Pair nos celulares não impede o ataque. Essa situação levanta preocupações sobre a segurança de dispositivos Bluetooth e a privacidade dos usuários.

Especialistas em cibersegurança da Huntress alertaram sobre uma nova campanha maliciosa chamada KongTuke, que utiliza uma extensão falsa de bloqueio de anúncios no Google Chrome para roubar dados dos usuários. A extensão, denominada ‘NexShield – Advanced Web Guardian’, se apresenta como uma ferramenta de proteção contra anúncios e malwares, mas na verdade distribui um trojan de acesso remoto chamado ModeloRAT. Ao instalar a extensão, os usuários são enganados por um aviso de segurança falso que os leva a executar um comando no Windows, causando um travamento do navegador e permitindo que os hackers monitorem suas atividades. A extensão foi baixada mais de 5 mil vezes antes de ser desativada. O ataque é especialmente preocupante para ambientes corporativos, onde informações sensíveis podem ser comprometidas através da engenharia social. A campanha destaca a importância de se ter cautela ao instalar extensões e a necessidade de medidas de segurança robustas para proteger dados pessoais e corporativos.

Pesquisadores do Centro CISPA Helmholtz de Segurança da Informação, na Alemanha, identificaram uma vulnerabilidade crítica nos processadores AMD, que permite a execução remota de códigos e escalonamento de privilégios em máquinas virtuais. Denominada StackWarp, a falha afeta os processadores AMD Zen, do modelo 1 ao 5, e possibilita que agentes maliciosos, com acesso privilegiado, manipulem o empilhamento de memória, comprometendo a segurança das máquinas virtuais. Embora a AMD já tenha lançado um patch para corrigir a vulnerabilidade, classificada como CVE-2025-29943 com severidade baixa (3,2/10), a possibilidade de exploração ainda existe para aqueles que já possuem controle privilegiado sobre os sistemas. A vulnerabilidade foi demonstrada em testes, onde foi possível reconstruir chaves privadas e contornar autenticações de senha. Apesar de a falha ser limitada a atacantes internos ou hackers sofisticados, ela destaca uma fragilidade significativa na segurança dos processadores AMD, especialmente em ambientes de nuvem e virtualização, onde a proteção de dados sensíveis é crucial.

Pesquisadores de cibersegurança da CyberArk conseguiram acessar o painel de controle do malware StealC, um infostealer amplamente utilizado por cibercriminosos. Essa invasão foi possível devido a uma falha de vazamento de código-fonte e uma vulnerabilidade de cross-site scripting (XSS). O StealC é capaz de coletar dados sensíveis, como credenciais de navegadores, cookies e informações de carteiras de criptomoedas. Durante a investigação, os pesquisadores identificaram um ator de ameaças conhecido como ‘YouTubeTA’, que utilizou credenciais roubadas para invadir canais legítimos do YouTube, resultando na coleta de 390 mil senhas e 30 milhões de cookies. A análise revelou detalhes sobre o dispositivo utilizado pelo atacante, que não utilizou uma VPN em uma de suas sessões, expondo seu endereço IP vinculado a um provedor de internet na Ucrânia. A divulgação dessas informações pode atrair mais atenção sobre o StealC, potencialmente interrompendo suas operações. Essa situação destaca a importância de monitorar e mitigar ameaças emergentes no cenário de cibersegurança.

A gigante de tecnologia Ingram Micro revelou que um ataque de ransomware em julho de 2025 resultou em uma violação de dados que afetou mais de 42.000 indivíduos. A empresa, que é uma das maiores fornecedoras de serviços B2B e distribuidora de tecnologia do mundo, confirmou que documentos contendo informações pessoais, como números de Seguro Social, foram roubados. O incidente foi detectado em 3 de julho de 2025, quando a Ingram Micro iniciou uma investigação após a detecção de atividades não autorizadas em seus sistemas internos. Os arquivos afetados incluíam registros de emprego e de candidatos, contendo dados como nome, informações de contato, data de nascimento e números de identificação emitidos pelo governo. Além da violação de dados, o ataque causou uma grande interrupção nos sistemas internos e no site da empresa, obrigando os funcionários a trabalharem de casa. Embora a Ingram Micro ainda não tenha vinculado o ataque a um grupo específico, a gangue de ransomware SafePay reivindicou a responsabilidade pelo ataque, alegando ter roubado 3,5 TB de documentos. O grupo é conhecido por suas táticas de dupla extorsão, que envolvem roubo de documentos sensíveis antes de criptografar os sistemas das vítimas e ameaçar a divulgação dos arquivos se o resgate não for pago.

Feras Khalil Ahmad Albashiti, um homem de 40 anos da Jordânia, se declarou culpado por atuar como um ‘access broker’, vendendo acesso a redes de computadores de pelo menos 50 empresas. A extradição de Albashiti foi realizada pelo Departamento de Justiça dos EUA, após sua prisão na Geórgia em julho de 2024. Ele foi acusado de fraude envolvendo credenciais de acesso e sua sentença está marcada para 11 de maio de 2026, podendo enfrentar até 10 anos de prisão e multas que podem chegar a $250.000. A investigação começou em maio de 2023, quando agentes de segurança identificaram Albashiti em um fórum online que vendia malware. Ele foi preso após vender acesso a redes de empresas para um agente disfarçado em troca de criptomoedas. O papel de ‘initial access brokers’ é crucial no ecossistema do cibercrime, pois eles fornecem credenciais que permitem que outros criminosos realizem ataques, como roubo de dados e ransomware. Recentemente, a Microsoft alertou sobre um broker que está abusando de ferramentas do Windows para carregar malware, destacando a crescente ameaça que esses intermediários representam.

Pesquisadores de cibersegurança revelaram uma campanha ativa chamada KongTuke, que utiliza uma extensão maliciosa do Google Chrome disfarçada de bloqueador de anúncios. Essa extensão, chamada ‘NexShield – Advanced Web Guardian’, foi projetada para travar o navegador e enganar as vítimas a executar comandos arbitrários. A extensão, que teve mais de 5.000 downloads, simula um alerta de segurança falso, levando os usuários a realizar uma ‘varredura’ que resulta em um ataque de negação de serviço (DoS) que causa o congelamento do navegador. Após a instalação, a extensão envia um ID único para um servidor controlado por atacantes, permitindo o rastreamento das vítimas. O ataque culmina na instalação de um trojan de acesso remoto (RAT) chamado ModeloRAT, que permite que os atacantes controlem os sistemas comprometidos. A campanha KongTuke destaca a evolução das táticas de engenharia social, explorando a frustração do usuário para criar um ciclo de infecção autossustentável.

Uma equipe de acadêmicos do CISPA Helmholtz Center for Information Security, na Alemanha, revelou uma nova vulnerabilidade de hardware, chamada StackWarp, que afeta processadores AMD, incluindo as séries EPYC 7003, 8004, 9004 e 9005. Essa falha permite que atacantes com controle privilegiado sobre um servidor host executem código malicioso dentro de máquinas virtuais confidenciais (CVMs), comprometendo a integridade das garantias de segurança oferecidas pelo Secure Encrypted Virtualization com Secure Nested Paging (SEV-SNP) da AMD. A vulnerabilidade, classificada como CVE-2025-29943, possui um escore de severidade médio (4.6) e pode ser explorada por meio de um bit de controle não documentado no lado do hipervisor, permitindo que um atacante manipule o ponteiro da pilha dentro da VM protegida. Isso pode resultar em execução remota de código e escalonamento de privilégios. A AMD já lançou atualizações de microcódigo para mitigar a vulnerabilidade, com patches adicionais programados para abril de 2026. Os operadores de SEV-SNP são aconselhados a desativar o hyperthreading em sistemas afetados e aplicar as atualizações disponíveis.

Nos últimos anos, a dependência de provedores de SaaS (Software as a Service) e soluções em nuvem tem se mostrado arriscada para empresas que buscam resiliência cibernética. O modelo de ‘Shared Responsibility’ (Responsabilidade Compartilhada) entre as empresas e os provedores de serviços em nuvem não garante proteção total dos dados, como evidenciado por um aumento significativo nos incidentes de segurança. Em 2024, plataformas populares de DevOps, como GitHub e Jira, enfrentaram 502 incidentes, resultando em mais de 4.755 horas de inatividade. Em 2025, esse número saltou para 156 incidentes críticos, com mais de 9.255 horas de degradação de desempenho. A falta de uma estratégia de proteção de dados em múltiplas camadas e a dependência de backups nativos criam um ponto único de falha, expondo as empresas a riscos financeiros e operacionais significativos. Além disso, a pressão durante as interrupções pode levar a práticas inseguras, como o uso de Shadow IT, aumentando ainda mais os riscos de segurança. Para as empresas brasileiras, a situação é crítica, pois a inatividade pode resultar em perdas financeiras substanciais e danos à reputação, exigindo uma reavaliação das estratégias de cibersegurança e continuidade de negócios.

O cenário de cibersegurança está em constante evolução, com a linha entre atualizações normais e incidentes graves se tornando cada vez mais tênue. Recentemente, uma vulnerabilidade crítica no Fortinet FortiSIEM, identificada como CVE-2025-64155, foi explorada ativamente, permitindo que atacantes não autenticados executassem códigos maliciosos. Essa falha, com um escore CVSS de 9.4, compromete o serviço phMonitor, que opera com privilégios elevados, possibilitando controle total do sistema. Além disso, um novo malware chamado VoidLink, voltado para ambientes Linux, foi desenvolvido para garantir acesso de longo prazo e coleta de dados, utilizando técnicas de evasão sofisticadas para evitar detecção.

A inteligência artificial (IA) se tornou uma parte integral das operações empresariais, automatizando processos e auxiliando na tomada de decisões. No entanto, à medida que a IA acessa dados sensíveis e executa ações, ela se transforma em um vetor de risco potencial. Pesquisas da Tenable indicam que a IA pode ser manipulada para facilitar ataques internos, utilizando técnicas como injeção indireta de instruções. Isso altera a abordagem tradicional de segurança, que se focava apenas em invasões externas. A popularização de ferramentas no-code, que permitem que mais colaboradores criem agentes de IA, aumenta a exposição a riscos, como vazamentos de dados e fraudes financeiras. Para mitigar esses riscos, é crucial que as lideranças empresariais respondam a três perguntas fundamentais sobre o uso da IA em suas organizações. A governança deve ser proporcional ao impacto, envolvendo práticas como mapeamento de ferramentas, classificação de dados e monitoramento de interações. A maturidade em IA será medida não pela rapidez de adoção, mas pela capacidade de controle e segurança na sua implementação.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade de cross-site scripting (XSS) no painel de controle web utilizado pelos operadores do malware StealC, um ladrão de informações que surgiu em janeiro de 2023. Essa falha permitiu a coleta de dados críticos sobre os usuários do malware, incluindo impressões digitais do sistema e cookies de sessão. O StealC opera sob um modelo de malware como serviço (MaaS), utilizando plataformas como o YouTube para distribuir o software malicioso disfarçado de cracks de programas populares. O painel atualizado, conhecido como StealC V2, foi comprometido após o vazamento do código-fonte, permitindo que pesquisadores identificassem detalhes sobre os computadores dos operadores, como localização e hardware. A vulnerabilidade XSS é uma injeção de código JavaScript malicioso que pode ser explorada para roubar cookies e acessar informações sensíveis. O caso destaca a ironia de um grupo especializado em roubo de cookies não ter implementado medidas básicas de segurança. Além disso, um cliente do StealC, identificado como YouTubeTA, utilizou a plataforma para distribuir o malware, acumulando um grande número de credenciais roubadas. A pesquisa também revelou falhas na segurança operacional do ator, que expôs sua localização ao não usar uma VPN. Isso evidencia os riscos que os operadores de malware enfrentam, mesmo em suas próprias infraestruturas.

A Canadian Investment Regulatory Organization (CIRO) confirmou que um vazamento de dados ocorrido no ano passado afetou cerca de 750 mil investidores no Canadá. O incidente foi revelado em 18 de agosto, após a identificação de uma ameaça cibernética em 11 de agosto, levando a CIRO a desativar sistemas não críticos e iniciar uma investigação. A análise forense, concluída em 14 de janeiro, revelou que informações pessoais de membros e funcionários registrados foram comprometidas, incluindo datas de nascimento, números de telefone, renda anual e números de contas de investimento. Embora as credenciais de login não tenham sido afetadas, a CIRO não encontrou evidências de que os dados roubados tenham sido utilizados de forma indevida ou publicados na dark web. Para mitigar riscos, a organização oferecerá monitoramento de crédito e proteção contra roubo de identidade por dois anos aos investidores afetados. Este incidente é considerado um dos piores vazamentos de dados no Canadá em 2022, ao lado de outros casos em empresas como Nova Scotia Power e WestJet.

A Microsoft divulgou atualizações de emergência para Windows 10, Windows 11 e Windows Server, visando corrigir dois problemas surgidos após as atualizações de segurança de janeiro de 2026. O primeiro problema afeta o acesso a sessões do Microsoft 365 Cloud PC, resultando em falhas de autenticação em aplicativos de conexão remota, como o Remote Desktop. O segundo problema, que impacta apenas o Windows 11 versão 23H2, impede que alguns PCs com Secure Launch desliguem ou entrem em hibernação, forçando um reinício do dispositivo. Para mitigar esses problemas, a Microsoft lançou atualizações fora do ciclo regular, que devem ser baixadas manualmente do Catálogo de Atualizações da Microsoft, já que não estão disponíveis via Windows Update. Para organizações que não podem aplicar as atualizações imediatamente, a Microsoft sugere o uso de um rollback de problema conhecido (KIR) através de políticas de grupo. Se os dispositivos não forem afetados, não há necessidade de instalar as atualizações de emergência, podendo os administradores aguardar a próxima atualização de pré-visualização ou o Patch Tuesday do próximo mês.

Apesar de campanhas de conscientização e regulamentações rigorosas, o uso de senhas fracas, como ‘admin’ e ‘123456’, continua a ser um desafio para as empresas no Reino Unido. Este fenômeno reflete uma falha mais profunda na gestão de credenciais e na cultura organizacional de segurança. O Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido recentemente atualizou suas diretrizes, sugerindo uma menor dependência de senhas e uma maior ênfase em processos organizacionais e defesas técnicas. A pesquisa indica que quase 20% das organizações ainda não possuem controles formais de credenciais, o que contribui para a persistência de senhas fracas. A sobrecarga de senhas, resultante da necessidade de gerenciar um grande número de contas, leva os usuários a adotar práticas inseguras, como reutilização de senhas. Para mitigar esses riscos, o NCSC recomenda a implementação de gerenciadores de senhas de terceiros e a adoção de uma abordagem de gerenciamento de identidade que trate a identidade como o novo perímetro de segurança. A gestão de acesso privilegiado (PAM) é destacada como uma solução crítica para reduzir riscos em ambientes de TI complexos, garantindo que o acesso seja controlado e monitorado de forma eficaz. Essa mudança de paradigma é essencial para fortalecer a postura de segurança das organizações frente a um cenário de ameaças em constante evolução.

Um novo conjunto de 17 extensões maliciosas associadas à campanha GhostPoster foi identificado nas lojas do Chrome, Firefox e Edge, totalizando 840.000 instalações. A campanha, inicialmente relatada em dezembro pela Koi Security, utiliza código JavaScript malicioso oculto em imagens de logotipos para monitorar a atividade do navegador e implantar uma porta dos fundos. O código busca um payload ofuscado de um recurso externo, que rastreia a navegação da vítima, sequestra links de afiliados em plataformas de e-commerce e injeta iframes invisíveis para fraudes publicitárias. Um relatório da LayerX revela que a campanha continua ativa, com algumas extensões presentes desde 2020, indicando uma operação de longo prazo. A extensão ‘Instagram Downloader’ apresenta uma variante mais avançada, movendo a lógica maliciosa para o script de fundo e utilizando um arquivo de imagem como contêiner de payload. Embora as extensões tenham sido removidas das lojas da Mozilla e Microsoft, usuários que as instalaram ainda podem estar em risco. O Google confirmou a remoção das extensões da Chrome Web Store, mas a ameaça persiste para aqueles que as mantêm em seus navegadores.

Recentemente, a empresa de cibersegurança Socket identificou uma campanha maliciosa envolvendo cinco extensões do Chrome, que se disfarçavam como ferramentas de produtividade e segurança para plataformas de recursos humanos (HR) e de planejamento de recursos empresariais (ERP) como Workday, NetSuite e SAP SuccessFactors. Essas extensões, que foram instaladas mais de 2.300 vezes, têm como objetivo roubar credenciais de autenticação e bloquear páginas de gerenciamento utilizadas para responder a incidentes de segurança.

O Google Chrome agora oferece a opção de excluir modelos de inteligência artificial (IA) que alimentam sua funcionalidade de ‘Proteção Aprimorada’, atualizada no ano passado com capacidades de IA. Essa proteção, que já existia há alguns anos, foi aprimorada para fornecer segurança em tempo real contra sites, downloads e extensões perigosas. Embora não esteja claro como essa nova versão se diferencia da anterior, a IA pode estar sendo utilizada para identificar padrões em tempo real e alertar os usuários sobre sites potencialmente prejudiciais, mesmo aqueles que não foram previamente identificados pelo Google. Além disso, a proteção baseada em IA realiza uma varredura detalhada de downloads suspeitos. Para excluir o modelo de IA, os usuários devem acessar as configurações do Chrome e desativar a opção ‘On-device GenAI’. Essa funcionalidade está atualmente disponível na versão Canary do Chrome e será lançada para todos em breve. É importante notar que o modelo de IA local também pode ser utilizado para outras funcionalidades além da detecção de fraudes.

Autoridades de segurança da Ucrânia e da Alemanha identificaram dois ucranianos suspeitos de atuar no grupo de ransomware Black Basta, vinculado à Rússia. O líder do grupo, Oleg Evgenievich Nefedov, foi incluído na lista dos mais procurados da União Europeia e no Aviso Vermelho da INTERPOL. Os suspeitos eram especializados em hacking técnico e na extração de senhas, permitindo que o grupo invadisse redes corporativas e extorquisse dinheiro por meio de ransomware. As investigações resultaram em buscas nas residências dos acusados, onde foram apreendidos dispositivos digitais e ativos em criptomoedas. O Black Basta, que surgiu em abril de 2022, é responsável por ataques a mais de 500 empresas em várias regiões, acumulando centenas de milhões de dólares em pagamentos ilícitos. Apesar de uma aparente queda após vazamentos de informações internas, a possibilidade de rebranding e reemergência do grupo é alta, com suspeitas de que ex-membros possam ter migrado para outras operações de ransomware, como a CACTUS.

A OpenAI lançou a assinatura ChatGPT Go, disponível nos Estados Unidos e em outras regiões, ao custo de US$ 8. Essa nova opção permite aos usuários enviar 10 vezes mais mensagens, fazer uploads de arquivos e criar imagens em comparação com a versão gratuita. No entanto, a assinatura não oferece acesso aos modelos avançados de raciocínio, limitando-se ao modelo GPT-5.2 Instant. A OpenAI destaca que o ChatGPT Go é voltado para aqueles que buscam um acesso ampliado a recursos a um preço mais acessível. Além disso, a assinatura proporciona uma memória e janela de contexto mais longas, permitindo que o ChatGPT retenha mais informações sobre os usuários e suas conversas. Por outro lado, a assinatura ChatGPT Plus, que custa US$ 20, continua sendo a melhor opção, pois oferece acesso a modelos avançados e não exibe anúncios. O ChatGPT Go, assim como a versão gratuita, mostrará anúncios nas respostas, embora a OpenAI afirme que isso não afetará as respostas do GPT. Para uma experiência sem limites e com o mais alto nível de raciocínio, a assinatura GPT Pro, que custa US$ 200, é recomendada. A introdução de anúncios nas contas gratuitas e Go pode impactar a experiência do usuário, mas a OpenAI garante que não influenciará as respostas geradas pelo modelo.

A equipe de pesquisa Unit 42, da Palo Alto Networks, alertou sobre as ameaças cibernéticas que podem afetar as Olimpíadas de Inverno de Milano Cortina, programadas para fevereiro de 2026. Os riscos incluem ataques à infraestrutura digital e Wi-Fi, como os que ocorreram em edições anteriores, além de ameaças de DDoS e ransomware. A concentração de pessoas e dados durante o evento torna-o um alvo atrativo para golpistas, que podem tentar extorquir organizações ou realizar espionagem cibernética. Os principais tipos de atacantes identificados são grupos motivados financeiramente, agências de espionagem estatais e hacktivistas. A interconexão de sistemas pode facilitar o acesso de hackers, que podem comprometer serviços essenciais como energia e transporte, impactando a confiança no evento. Além disso, a utilização de técnicas como phishing e engenharia social, potencializadas por IA e deepfakes, pode aumentar a eficácia dos ataques. A situação exige atenção redobrada das autoridades e organizadores para garantir a segurança do evento.

Um estudo da empresa de segurança Jamf revelou que o spyware Predator, da Intellexa, possui um nível de monitoramento e controle sobre seus usuários muito maior do que o alegado pelos vendedores do software. Tradicionalmente, esses fornecedores afirmam que suas ferramentas são utilizadas apenas por governos e entidades legais para monitorar atividades criminosas e ameaças à segurança nacional. No entanto, a pesquisa indicou que o Predator utiliza técnicas de anti-análise para coletar dados sobre falhas de uso, permitindo que operadores ajustem suas estratégias de ataque. O software é capaz de relatar erros específicos a um servidor de comando e controle (C2), que, embora não esteja claro se é operado pela Intellexa ou por seus clientes, sugere um controle centralizado. A falta de transparência em relação ao funcionamento do Predator levanta preocupações sobre seu uso em ciberataques a ativistas de direitos humanos e jornalistas, como evidenciado pelo caso do assassinato do jornalista Jamal Khashoggi, cujas comunicações foram comprometidas por outro spyware, o Pegasus. A Intellexa, por sua vez, não possui presença online visível, o que agrava a falta de clareza sobre suas operações.

A Verizon começou a enviar mensagens de texto aos seus clientes com instruções para resgatar um crédito de $20 em suas contas, como compensação pela interrupção de serviço que ocorreu na semana passada. A falha, que afetou usuários em todo os Estados Unidos, ocorreu em 14 de janeiro, quando muitos clientes relataram perda de sinal e seus dispositivos ficaram presos no modo SOS, impossibilitando chamadas e acesso à internet. A empresa reconheceu o problema, atribuindo-o a uma falha de software, e não a um incidente de cibersegurança. O crédito de $20 é uma tentativa de compensar os dias de serviço perdidos, embora a Verizon tenha enfatizado que não é uma solução completa para o ocorrido. Para resgatar o crédito, os clientes devem acessar suas contas no site da Verizon e seguir algumas etapas simples. A empresa também recomendou que os clientes que ainda enfrentam problemas de conectividade reiniciem seus dispositivos. A Verizon está oferecendo um crédito por conta, independentemente do número de linhas associadas, e as mensagens estão sendo enviadas apenas para o número do titular da conta.

Um grupo de hackers avançados, identificado como UAT-8837 e supostamente vinculado à China, tem se concentrado em sistemas de infraestrutura crítica na América do Norte, explorando vulnerabilidades conhecidas e zero-day para obter acesso inicial a organizações-alvo. Ativo desde pelo menos 2025, o grupo utiliza credenciais comprometidas e vulnerabilidades de servidores para iniciar seus ataques. Recentemente, explorou a falha CVE-2025-53690, uma vulnerabilidade zero-day em produtos Sitecore, indicando acesso a problemas de segurança não divulgados. Após a invasão, os atacantes realizam atividades de reconhecimento e colheita de credenciais utilizando comandos nativos do Windows e ferramentas de código aberto. Entre as ferramentas utilizadas estão GoTokenTheft e Rubeus, que visam roubar tokens de acesso e credenciais do Active Directory. O relatório da Cisco Talos também destaca que os atacantes podem exfiltrar arquivos DLL de produtos utilizados pelas vítimas, o que pode facilitar futuros ataques de trojanização e na cadeia de suprimentos. A análise sugere que o grupo UAT-8837 está alinhado com as táticas de outros atores de ameaças conhecidos da China, o que aumenta a preocupação com a segurança das infraestruturas críticas na região.

As autoridades da Ucrânia e da Alemanha confirmaram a identidade do líder do grupo de ransomware Black Basta, Oleg Evgenievich Nefedov, um cidadão russo de 35 anos, que agora figura na lista de procurados da Europol e da Interpol. A operação conjunta resultou na identificação de dois outros suspeitos que atuavam na fase inicial dos ataques, especializados em acessar redes-alvo e preparar o terreno para os ataques de ransomware. Os investigadores relataram que esses indivíduos eram responsáveis por quebrar senhas e obter credenciais de acesso de funcionários de empresas, o que lhes permitia invadir sistemas corporativos internos. Durante as investigações, foram apreendidos dispositivos de armazenamento digital e ativos em criptomoeda. O grupo Black Basta, que surgiu em abril de 2022, é responsável por pelo menos 600 incidentes de ransomware, afetando grandes organizações globalmente, incluindo a Rheinmetall, Hyundai e Ascension. A conexão de Nefedov com o grupo Conti, um sindicato de ransomware que se desfez em 2022, também foi destacada, indicando sua experiência e influência no cenário de cibercrime. As autoridades continuam a investigar e monitorar as atividades do grupo, que representa uma ameaça significativa para a segurança cibernética mundial.

Uma falha de cross-site scripting (XSS) no painel de controle web do malware StealC permitiu que pesquisadores observassem sessões ativas e coletassem informações sobre o hardware dos atacantes. O StealC, que surgiu em 2023, ganhou notoriedade por suas capacidades de evasão e roubo de dados. Com a versão 2.0, lançada em abril, o desenvolvedor introduziu suporte para bots do Telegram e um novo construtor que gera versões personalizadas do malware. A falha XSS descoberta pela CyberArk possibilitou a coleta de impressões digitais de navegadores e hardware dos operadores, além de permitir o sequestro de sessões. Um caso notável envolveu um cliente do StealC, conhecido como ‘YouTubeTA’, que comprometeu canais legítimos do YouTube e coletou mais de 5.000 logs de vítimas, resultando no roubo de aproximadamente 390.000 senhas e 30 milhões de cookies. A localização do atacante foi revelada quando ele não utilizou uma VPN, expondo seu IP real vinculado a um provedor de internet ucraniano. A CyberArk optou por não divulgar detalhes da vulnerabilidade para evitar que os operadores do StealC a corrigissem rapidamente, visando causar interrupções nas operações do malware.

O PagBank anunciou um reforço nas suas medidas de cibersegurança no início de 2026, em resposta ao aumento das fraudes digitais no Brasil. O país, que ocupa a segunda posição mundial em ciberataques, registrou quase 7 milhões de tentativas de fraude no primeiro semestre de 2025, um aumento de 29,5% em relação ao ano anterior. Para combater essa situação, o PagBank implementou diversas funcionalidades de segurança, como alertas de login em dispositivos de risco, que notificam os usuários sobre tentativas de acesso suspeitas, e o uso de QR Codes para autenticação de transações. Além disso, a empresa introduziu a rede ‘Wi-Fi Seguro’, que protege os usuários em conexões públicas, e utiliza inteligência artificial para detectar comportamentos suspeitos e tentativas de engenharia social. A importância da vigilância constante por parte dos clientes também foi enfatizada, destacando que, apesar das tecnologias avançadas, o cuidado individual é crucial na prevenção de fraudes.

Uma nova campanha de cibercriminosos está explorando a operação militar dos Estados Unidos para capturar Nicolás Maduro, presidente da Venezuela, como uma isca para distribuir malware. Especialistas em segurança cibernética identificaram que hackers, associados ao grupo Mustang Panda, estão utilizando táticas de spear phishing para atacar entidades políticas americanas. O malware, chamado LOTUSLITE, é um backdoor que se infiltra em dispositivos governamentais através de um arquivo ZIP malicioso intitulado ‘EUA decidem agora o que vem a seguir para a Venezuela.zip’.