Cibersegurança

O Healthcare Services Group (HCSG) confirmou que notificou 624.496 pessoas sobre uma violação de dados ocorrida em outubro de 2024, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados bancários e informações médicas. O grupo de ransomware Underground reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,1 TB de dados, incluindo documentos legais e financeiros confidenciais. A HCSG informou que o acesso não autorizado ocorreu entre 27 de setembro e 3 de outubro de 2024, mas não confirmou se um resgate foi pago. A empresa está oferecendo assistência gratuita de restauração de identidade aos afetados. Embora a HCSG tenha afirmado que o incidente não causou interrupções significativas em suas operações, o ataque destaca a crescente ameaça de ransomware no setor de saúde, onde ataques podem comprometer a segurança e a privacidade dos pacientes. Em 2024, foram registrados 30 ataques a empresas de saúde, comprometendo mais de 196 milhões de registros, com o ataque à HCSG sendo o quarto maior em termos de registros comprometidos.

Uma nova campanha de cibercrime, chamada ShadowCaptcha, foi identificada em agosto de 2025, explorando mais de 100 sites WordPress comprometidos. Os atacantes redirecionam visitantes para páginas falsas de verificação CAPTCHA, utilizando táticas de engenharia social para instalar malware, incluindo ladrões de informações, ransomware e mineradores de criptomoedas. A campanha combina engenharia social, uso de binários legítimos e entrega de payloads em múltiplas etapas, visando coletar dados sensíveis e gerar lucros ilícitos. Os ataques começam com a injeção de código JavaScript malicioso em sites WordPress, levando os usuários a páginas falsas que imitam serviços como Cloudflare ou Google. Dependendo das instruções exibidas, os usuários podem ser induzidos a executar comandos maliciosos que resultam na instalação de ransomware ou ladrões de dados. A maioria dos sites afetados está localizada em países como Brasil, Austrália e Itália, e os atacantes provavelmente exploraram vulnerabilidades conhecidas em plugins do WordPress. Para mitigar os riscos, é crucial treinar os usuários sobre campanhas de ClickFix, segmentar redes e manter os sites WordPress atualizados com autenticação multifatorial.

O aumento das ameaças cibernéticas, como ransomware, torna a proteção de endpoints uma prioridade crítica para empresas de todos os tamanhos. O artigo destaca a importância de plataformas de cibersegurança que utilizam inteligência artificial (IA) para oferecer proteção autônoma e em tempo real. A SentinelOne, reconhecida como líder no Gartner Magic Quadrant de 2025, apresenta sua plataforma Singularity, que combina EDR, CNAPP e SIEM, permitindo uma resposta rápida a incidentes e redução de riscos operacionais. Com a capacidade de detectar ameaças 63% mais rápido e reduzir o tempo médio de resposta a incidentes em 55%, a solução é especialmente valiosa em setores sensíveis como saúde e finanças, onde a conformidade regulatória é crucial. A plataforma também se destaca por sua arquitetura leve e integração com ferramentas existentes, minimizando a fadiga de alertas e melhorando a eficiência das equipes de segurança. A evolução da segurança de endpoints, impulsionada pela IA comportamental e automação, promete transformar a forma como as organizações gerenciam suas defesas cibernéticas.

Pesquisadores em cibersegurança alertam sobre uma sofisticada campanha de engenharia social, denominada ZipLine, que visa empresas de manufatura críticas para a cadeia de suprimentos. Utilizando um malware em memória chamado MixShell, os atacantes iniciam contato por meio de formulários de ‘Contato’ em sites corporativos, enganando funcionários e estabelecendo conversas profissionais que podem durar semanas. Após esse período, enviam arquivos ZIP armados com o malware. Os alvos principais incluem empresas de manufatura industrial, biotecnologia e farmacêuticas, com foco em entidades baseadas nos EUA, mas também atingindo países como Singapura, Japão e Suíça. O ZipLine se destaca por evitar táticas de medo, utilizando uma abordagem paciente que se aproveita da confiança nas comunicações empresariais. O MixShell é projetado para executar comandos remotamente e infiltrar redes de forma discreta, utilizando técnicas avançadas de evasão. A campanha representa riscos significativos, incluindo roubo de propriedade intelectual e ataques de ransomware, exigindo que as empresas adotem defesas proativas e uma cultura de vigilância.

Em março de 2025, o Google Threat Intelligence Group (GTIG) revelou uma campanha de espionagem cibernética sofisticada atribuída ao grupo de hackers UNC6384, vinculado à República Popular da China (RPC). O foco principal da campanha foram diplomatas e setores governamentais no Sudeste Asiático, mas também afetou organizações globais. Os hackers exploraram uma funcionalidade legítima dos navegadores para detectar portais cativos, utilizando ataques do tipo adversário-no-meio (AitM) em dispositivos comprometidos. Isso permitiu que os atacantes redirecionassem os usuários para uma infraestrutura controlada por eles, onde eram apresentados a uma página de atualização falsa que disfarçava um instalador de malware como uma atualização de plugin do Adobe. O malware, denominado STATICPLUGIN, foi entregue como um instalador assinado digitalmente, levantando questões sobre a origem do certificado utilizado. Após a execução, o STATICPLUGIN baixou um pacote MSI que continha um backdoor chamado SOGU.SEC, permitindo que os hackers exfiltrassem arquivos e executassem comandos remotamente. O GTIG destacou que as táticas de UNC6384 refletem uma tendência mais ampla da RPC em usar malware assinado digitalmente e técnicas de engenharia social para espionagem estratégica. O Google já tomou medidas para bloquear domínios maliciosos e revogar certificados abusados, alertando usuários afetados. A situação destaca a necessidade de uma vigilância constante e de uma reavaliação das práticas de segurança em relação a certificados digitais.

No dia 21 de agosto de 2025, a GreyNoise Intelligence registrou um aumento sem precedentes na atividade de reconhecimento do Protocolo de Área de Trabalho Remota (RDP), com 1.971 endereços IP únicos realizando varreduras simultâneas nos portais de autenticação do Microsoft RD Web Access e do Microsoft RDP Web Client. A maioria desses IPs (1.851) compartilhava a mesma assinatura de cliente, indicando uma campanha coordenada para descobrir nomes de usuários válidos antes de tentativas de invasão baseadas em credenciais. Aproximadamente 92% dos IPs já haviam sido identificados como maliciosos, com 73% da atividade originando-se do Brasil, tendo os Estados Unidos como alvo. A GreyNoise também identificou uma onda subsequente de escaneamento que ultrapassou 30.000 IPs, sinalizando uma escalada dramática na intenção dos atacantes de mapear endpoints RDP expostos. Este aumento de atividade ocorre em um período crítico, quando instituições educacionais estão online, o que torna a exploração de esquemas de nomes de usuário previsíveis uma preocupação significativa. Organizações com portais RDP expostos devem revisar e reforçar seus fluxos de autenticação, implementando autenticação multifator e monitorando anomalias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), relacionadas ao Citrix Session Recording e ao Git. As falhas CVE-2024-8068 e CVE-2024-8069, ambas com uma pontuação CVSS de 5.1, permitem a escalada de privilégios e execução remota de código, respectivamente, quando um atacante é um usuário autenticado na mesma rede do servidor de gravação de sessões. A terceira vulnerabilidade, CVE-2025-48384, com uma pontuação CVSS de 8.1, está relacionada ao Git e resulta em execução arbitrária de código devido ao tratamento inconsistente de caracteres de retorno de carro em arquivos de configuração. As falhas da Citrix foram corrigidas em novembro de 2024, enquanto a vulnerabilidade do Git foi abordada em julho de 2025. A CISA não forneceu detalhes adicionais sobre a atividade de exploração, mas exigiu que as agências federais implementassem as mitig ações necessárias até 15 de setembro de 2025.

O Google anunciou que começará a verificar a identidade de todos os desenvolvedores que distribuem aplicativos no Android, incluindo aqueles que o fazem fora da Play Store. A medida visa aumentar a responsabilidade e dificultar a distribuição de aplicativos maliciosos. A partir de outubro de 2025, convites para a verificação serão enviados gradualmente, com a implementação total prevista para setembro de 2026 em países como Brasil, Indonésia, Cingapura e Tailândia. A vice-presidente do Android, Suzanne Frey, destacou que todos os aplicativos instalados em dispositivos Android certificados nessas regiões precisarão ser registrados por desenvolvedores verificados. Embora os desenvolvedores que já utilizam a Play Store não enfrentem grandes mudanças, a nova exigência busca impedir que atores maliciosos se façam passar por desenvolvedores legítimos. Além disso, a Google já havia implementado outras medidas de segurança, como a exigência de um número D-U-N-S para novos registros de contas de desenvolvedores organizacionais. Essas mudanças visam proteger os usuários de malware e fraudes, mantendo a escolha do usuário enquanto reforçam a segurança do ecossistema Android.

Pesquisadores de cibersegurança identificaram uma nova variante do trojan bancário HOOK, que agora incorpora telas de sobreposição no estilo ransomware para extorquir vítimas. Essa variante é capaz de exibir uma tela de alerta em tela cheia, que apresenta uma mensagem alarmante de ‘AVISO’, juntamente com um endereço de carteira e um valor, ambos recuperados dinamicamente de um servidor de comando e controle (C2). O ataque é iniciado remotamente quando o comando ‘ransome’ é enviado pelo servidor C2, e o atacante pode remover a sobreposição com o comando ‘delete_ransome’.

A crescente popularidade de serviços de criação de sites por inteligência artificial, como a Lovable, trouxe à tona preocupações significativas de segurança cibernética. Um relatório da Proofpoint revelou que, desde fevereiro, dezenas de milhares de URLs geradas na plataforma têm sido utilizadas em campanhas de phishing, instalação de malwares e roubo de dados. Os sites fraudulentos imitam páginas de marcas conhecidas e utilizam mecanismos como captchas para evitar a detecção por bots. Quatro campanhas distintas foram identificadas, incluindo uma que visava roubar credenciais de login da Microsoft e outra que imitava a empresa de logística UPS para coletar dados pessoais e informações de pagamento. A Lovable implementou medidas de segurança em junho, mas a Proofpoint alerta que ainda é possível criar sites fraudulentos na plataforma. Essa situação evidencia como a tecnologia pode ser explorada para fins criminosos, exigindo atenção redobrada de empresas e usuários para evitar danos.

Um novo golpe de phishing foi identificado, utilizando links legítimos do site office.com redirecionados por meio de publicidade falsa para roubar credenciais de usuários do Microsoft 365. A técnica, descoberta pela Push Security, consiste em evitar a detecção de endereços maliciosos e contornar a verificação multifator (MFA) da Microsoft. O ataque começa quando um usuário, ao buscar por ‘Office 265’ (um erro de digitação), clica em um link patrocinado que parece legítimo. Inicialmente, o usuário é redirecionado para o site oficial da Microsoft, o que dificulta a identificação do golpe. Os hackers criaram um domínio próprio que redireciona para uma página de phishing, que, embora não contenha elementos maliciosos visíveis, é projetada para enganar sistemas de detecção. A Push Security alerta que os alvos não são específicos, sugerindo que os hackers estão testando a eficácia dessa nova abordagem. Para se proteger, recomenda-se que empresas verifiquem os parâmetros de redirecionamento de anúncios que levam ao office.com e que usuários evitem clicar em links publicitários, optando por resultados orgânicos.

Um relatório da Microsoft revelou que hackers estão utilizando uma versão modificada do aplicativo desktop do ChatGPT para disseminar um trojan de acesso remoto conhecido como Pipemagic. Este malware, desenvolvido pelo grupo de cibercriminosos Storm-2460, tem como alvo setores como imobiliário, financeiro e tecnológico em várias regiões, incluindo América do Sul, América do Norte, Europa e Oriente Médio. A gravidade da situação é acentuada pela combinação de um backdoor modular, que permite acesso direto aos sistemas comprometidos, e uma vulnerabilidade zero-day (CVE-2025-29824) no Windows, que ainda não possui correção. A Kaspersky também alertou sobre a campanha, destacando casos na Arábia Saudita e na Ásia. Os ataques podem resultar no vazamento de dados pessoais, credenciais e informações financeiras, além da instalação de ransomware que criptografa arquivos e exige pagamento para recuperação. A recomendação é que os usuários evitem baixar arquivos ou executar programas de fontes desconhecidas, especialmente aqueles que imitam softwares populares como o ChatGPT.

Davis Lu, um hacker chinês de 55 anos, foi condenado a 48 meses de prisão por sabotagem deliberada na rede de computadores de sua antiga empregadora, uma corporação global com sede em Beachwood, Ohio. O juiz distrital dos EUA, Pamela A. Barker, proferiu a sentença em 21 de agosto de 2025, após um veredicto de culpabilidade em março. Lu, que trabalhou como desenvolvedor de software na empresa desde 2007, começou a criar códigos destrutivos após perder privilégios e responsabilidades em 2018. Entre suas ações, ele implementou loops infinitos para travar servidores, scripts para deletar perfis de colegas e um ‘kill switch’ que bloqueava todos os usuários caso sua conta fosse removida. Quando Lu foi demitido em setembro de 2019, o ‘kill switch’ foi ativado, causando interrupções significativas para milhares de usuários globalmente. O FBI destacou a importância da detecção precoce de ameaças internas e a responsabilidade dos cibercriminosos, enfatizando que ações como as de Lu não ficarão impunes.

Desde 20 de agosto de 2025, usuários do Arch Linux têm enfrentado degradação de serviços devido a um ataque de negação de serviço (DDoS) que afetou o site principal, o Arch User Repository (AUR) e os fóruns da comunidade. O ataque resultou em dificuldades de conectividade, com resets iniciais de TCP SYN, embora algumas conexões consigam ser estabelecidas. A equipe de DevOps, composta por voluntários, está trabalhando em conjunto com o provedor de hospedagem para mitigar os efeitos do ataque e está avaliando opções de proteção DDoS a longo prazo. Durante a interrupção, alternativas e espelhos estão disponíveis para que os usuários possam acessar os serviços. A equipe também está preservando logs e dados forenses para uma divulgação pública futura. Atualizações regulares sobre o status da recuperação serão publicadas no site oficial do Arch Linux.

A Legacy Treatment Services, uma organização sem fins lucrativos de saúde comportamental em Nova Jersey, confirmou um vazamento de dados que afetou 41.826 indivíduos. O incidente, ocorrido entre 6 e 11 de outubro de 2024, comprometeu informações sensíveis, incluindo números de Seguro Social, dados de identificação, informações financeiras e registros médicos. O grupo de ransomware Interlock reivindicou a responsabilidade pelo ataque, alegando ter roubado 170 GB de dados, incluindo documentos internos e registros de pacientes. A Legacy não confirmou se um resgate foi pago e não divulgou detalhes sobre como a violação ocorreu. A organização está oferecendo proteção contra roubo de identidade para as vítimas afetadas até 20 de novembro de 2025. O ataque é parte de uma tendência crescente de ataques de ransomware no setor de saúde dos EUA, com 173 incidentes confirmados em 2024, comprometendo mais de 28 milhões de registros. A Legacy Treatment Services atende cerca de 20.000 pacientes anualmente, o que destaca a gravidade do impacto deste vazamento.

Pesquisadores de cibersegurança identificaram uma nova campanha de phishing que utiliza mensagens de voz e ordens de compra falsas para disseminar um carregador de malware chamado UpCrypter. Os ataques têm como alvo setores como manufatura, tecnologia, saúde, construção e varejo, com maior incidência em países como Áustria, Canadá e Índia. A campanha se inicia com e-mails de phishing que induzem os destinatários a clicar em links que levam a páginas de phishing convincentes, onde são solicitados a baixar arquivos JavaScript maliciosos. O UpCrypter atua como um canal para ferramentas de acesso remoto, permitindo que atacantes assumam o controle total de sistemas comprometidos. O malware é distribuído em arquivos ZIP que contêm scripts ofuscados, que realizam verificações para evitar a detecção por ferramentas de análise forense. Além disso, a campanha se insere em um contexto mais amplo de ataques que exploram serviços legítimos, como o Google Classroom, para contornar protocolos de autenticação de e-mail. A situação destaca a necessidade de vigilância contínua e medidas de mitigação eficazes para proteger as organizações contra essas ameaças emergentes.

A Docker lançou correções para uma vulnerabilidade crítica no aplicativo Docker Desktop para Windows e macOS, identificada como CVE-2025-9074, com um CVSS de 9.3. Essa falha permite que um container malicioso acesse o Docker Engine e crie novos containers sem a necessidade de montar o socket do Docker, o que pode resultar em acesso não autorizado a arquivos do sistema host. O problema reside na falta de autenticação para conexões ao Docker Engine API, permitindo que um container privilegiado tenha acesso total ao sistema subjacente. Um ataque de prova de conceito demonstrou que um simples pedido HTTP poderia comprometer completamente o host. No Windows, um atacante pode montar o sistema de arquivos inteiro e acessar arquivos sensíveis, enquanto no macOS, a aplicação possui uma camada de isolamento que requer permissão do usuário para acessar diretórios. A versão Linux do Docker não é afetada, pois utiliza um pipe nomeado em vez de um socket TCP. A vulnerabilidade pode ser explorada por meio de containers maliciosos ou por meio de uma falha de solicitação do lado do servidor (SSRF).

O grupo de ameaças conhecido como UNC6384, vinculado à China, tem sido responsável por uma série de ataques direcionados a diplomatas no Sudeste Asiático e outras entidades globais, com o objetivo de promover os interesses estratégicos de Pequim. A campanha, detectada em março de 2025, utiliza técnicas avançadas de engenharia social, incluindo certificados de assinatura de código válidos e ataques do tipo adversário-no-meio (AitM), para evitar a detecção. O ataque começa com um redirecionamento de portal cativo que desvia o tráfego da web para um site controlado pelo atacante, onde um downloader chamado STATICPLUGIN é baixado. Este downloader, que se disfarça como uma atualização de plugin da Adobe, instala um backdoor conhecido como SOGU.SEC, que permite a exfiltração de arquivos e o controle remoto do sistema. O uso de certificados válidos e técnicas de engenharia social sofisticadas demonstra a evolução das capacidades operacionais do UNC6384. Este tipo de ataque representa uma ameaça significativa, especialmente para organizações que operam em setores sensíveis, como diplomacia e segurança nacional.

A atualização de segurança de agosto de 2025 para o Windows 11 versão 24H2 e Windows 10 trouxe uma série de problemas, incluindo lentidão severa em dispositivos que utilizam ferramentas de streaming NDI, como OBS. Os usuários relataram travamentos e degradação de desempenho após a instalação da atualização KB5063878. A Microsoft recomenda uma solução temporária, que envolve a mudança do modo de recebimento NDI para TCP ou UDP. Além disso, a atualização causou falhas na instalação via WSUS para clientes empresariais, que já foram resolvidas. Outros problemas incluem a falta de prompt de consentimento parental em navegadores não-Edge e incompatibilidades com drivers específicos, como o sprotect.sys e o Dirac Audio, que impedem a atualização em alguns dispositivos. A Microsoft está trabalhando em soluções para esses problemas, mas os usuários são aconselhados a verificar a compatibilidade de seus sistemas antes de proceder com a atualização.

Um novo método de engenharia social, denominado ClickFix, está sendo utilizado por cibercriminosos para implantar ransomware através de resumos gerados por inteligência artificial (IA). Essa técnica envolve a injeção de comandos maliciosos em elementos HTML, que se tornam invisíveis para os usuários, mas são processados por modelos de IA. Os atacantes escondem instruções em caracteres de largura zero, texto branco sobre fundo branco e fontes minúsculas, fazendo com que os resumos gerados incluam guias passo a passo para a instalação de ransomware. Quando os destinatários confiam nesses resumos, podem executar comandos sem perceber que estão seguindo instruções maliciosas. O ataque reduz a barreira técnica para usuários não especializados, permitindo que eles se tornem vetores de ransomware. Para mitigar esses riscos, recomenda-se a sanitização de atributos CSS invisíveis, filtragem de prompts e reconhecimento de padrões de payload. À medida que as ferramentas de resumo de IA se tornam comuns, essa técnica pode ser rapidamente adotada por criminosos, exigindo uma colaboração entre desenvolvedores de IA e equipes de segurança para prevenir campanhas de ransomware mediadas por IA.

O relatório Picus Blue 2025 destaca que os sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM) estão falhando em detectar a maioria das atividades maliciosas em redes corporativas. Com base em mais de 160 milhões de simulações de ataques, foi constatado que as organizações conseguem identificar apenas 1 em cada 7 ataques simulados, evidenciando uma lacuna crítica na detecção de ameaças.

Entre os principais problemas identificados estão as falhas na coleta de logs, que representam 50% das falhas de detecção, e as regras de detecção mal configuradas, que correspondem a 13% das falhas. Além disso, problemas de desempenho, como regras pesadas e consultas ineficientes, foram responsáveis por 24% das falhas. O relatório também enfatiza a importância da validação contínua das regras de detecção, uma vez que as táticas dos atacantes estão em constante evolução. Sem essa validação, as organizações correm o risco de operar com uma falsa sensação de segurança, deixando seus sistemas e dados críticos vulneráveis a compromissos.

O cenário atual de cibersegurança é profundamente influenciado pela dinâmica política global, onde uma única violação pode impactar cadeias de suprimento e alterar o equilíbrio de poder. Recentemente, vulnerabilidades em gerenciadores de senhas foram descobertas, permitindo ataques de clickjacking que podem comprometer credenciais e dados financeiros. Além disso, hackers russos estão explorando uma falha antiga em dispositivos Cisco, coletando arquivos de configuração e alterando configurações para obter acesso não autorizado a redes críticas. A Apple também lançou correções para uma vulnerabilidade zero-day em seus sistemas operacionais, que estava sendo ativamente explorada. Outro ator, conhecido como Murky Panda, tem abusado de relações de confiança na nuvem para invadir redes empresariais. A INTERPOL anunciou a prisão de mais de 1.200 cibercriminosos na África, destacando a necessidade de cooperação internacional no combate ao cibercrime. Esses incidentes ressaltam a importância de uma abordagem estratégica em cibersegurança, onde as decisões de segurança transcendem a TI e se conectam a questões de negócios e confiança.

Pesquisadores de cibersegurança da Push Security alertaram sobre um novo esquema de phishing que tem como alvo credenciais de login da Microsoft. Os criminosos cibernéticos criaram páginas falsas que imitam as telas de login do Microsoft 365, utilizando uma ferramenta chamada Active Directory Federation Services (ADFS) para enganar os usuários. Em vez de enviar as vítimas diretamente para o site de phishing, os atacantes configuraram suas contas Microsoft para redirecionar os usuários para essas páginas fraudulentas, fazendo com que os links parecessem legítimos, já que começavam com ‘outlook.office.com’. Além disso, a distribuição do link não ocorreu por e-mail, mas sim através de malvertising, onde vítimas que buscavam por “Office 265” eram direcionadas a uma página de login falsa. O uso de um blog de viagens falso como intermediário ajudou a ocultar o ataque. Essa abordagem sofisticada permitiu que o esquema contornasse muitas ferramentas de segurança, aumentando sua taxa de sucesso em comparação com métodos tradicionais de phishing. Para se proteger, equipes de TI devem bloquear anúncios suspeitos e monitorar o tráfego de anúncios, enquanto os usuários devem ter cuidado ao digitar termos de busca, pois um simples erro de digitação pode levar a um anúncio falso que compromete dispositivos e contas.

O Linux, que celebra seu 34º aniversário, é um pilar da infraestrutura de computação moderna, abrangendo desde smartphones até supercomputadores. Criado por Linus Torvalds em 1991 como um projeto pessoal, o sistema operacional evoluiu para um ecossistema de bilhões de dólares, com mais de 34 milhões de linhas de código e contribuições diárias de milhares de desenvolvedores. Atualmente, o Linux é responsável por 100% dos 500 supercomputadores mais poderosos do mundo e alimenta mais de 90% das cargas de trabalho em nuvem pública, além de ser a base do Android, que domina o mercado de smartphones com 72% das vendas globais. O modelo de desenvolvimento aberto do Linux é sua maior força, atraindo empresas que buscam segurança e inovação. Com a crescente demanda por habilidades em Linux, o mercado global de Linux para empresas deve alcançar US$ 14,4 bilhões até 2025. À medida que o Linux se aproxima de seu 35º ano, ele continua a ser fundamental em áreas emergentes como inteligência artificial e computação quântica, destacando a importância da colaboração aberta na tecnologia.

O grupo de ameaças persistentes avançadas (APT) conhecido como Transparent Tribe, também chamado de APT36, tem direcionado ataques a sistemas Windows e Linux BOSS (Bharat Operating System Solutions) de entidades governamentais indianas. Os ataques são iniciados por meio de e-mails de spear-phishing que contêm arquivos de atalho de desktop maliciosos. Esses arquivos, disfarçados como documentos PDF, ao serem abertos, baixam e executam cargas maliciosas. O malware, que se comunica com um servidor de comando e controle, permite acesso remoto e coleta de dados. Além disso, o malware estabelece persistência através de um cron job, garantindo que a carga maliciosa seja executada automaticamente após reinicializações do sistema. A campanha também visa roubar credenciais e códigos de autenticação de dois fatores (2FA) de usuários, utilizando páginas falsas que imitam comunicações oficiais. A sofisticação do grupo, que adapta suas táticas conforme o ambiente da vítima, aumenta suas chances de sucesso e a dificuldade de detecção por controles de segurança tradicionais. Os ataques recentes têm como alvo organizações de defesa e entidades governamentais, utilizando domínios falsificados para enganar os usuários.

No cenário dinâmico da cibersegurança, os Provedores de Serviços Gerenciados (MSPs) e Provedores de Serviços de Segurança Gerenciada (MSSPs) enfrentam desafios únicos na proteção de seus clientes contra ameaças cibernéticas. O artigo destaca a importância de soluções robustas de proteção de endpoint, que vão além do antivírus tradicional, incorporando recursos avançados como Detecção e Resposta de Endpoint (EDR) e caça a ameaças. Para 2025, as soluções ideais devem oferecer gerenciamento multi-inquilino, eficiência operacional e modelos de preços flexíveis. O texto analisa as dez melhores soluções de proteção de endpoint, como Sophos Intercept X, Huntress e CrowdStrike Falcon, enfatizando suas características, como inteligência artificial para prevenção de ameaças e remediação automatizada. A escolha da solução certa é crucial não apenas para a segurança dos dados dos clientes, mas também para a reputação e continuidade dos negócios dos MSPs e MSSPs. Com a crescente complexidade das ameaças cibernéticas, a adoção de tecnologias adequadas se torna uma prioridade estratégica para esses provedores.

No cenário atual de cibersegurança, o modelo tradicional de segurança baseado em perímetro se mostra insuficiente. O conceito de segurança Zero Trust, que se baseia na premissa de ’nunca confiar, sempre verificar’, ganha destaque, especialmente em um mundo cada vez mais conectado e centrado na nuvem. Este artigo apresenta as 10 melhores empresas de segurança Zero Trust para 2025, que oferecem soluções abrangentes para gerenciar identidades, segmentar redes e proteger dados. Entre as principais tendências que impulsionam a adoção do Zero Trust estão o trabalho remoto, a migração para a nuvem, as ameaças internas e a sofisticação crescente dos ataques cibernéticos. As empresas listadas, como Zscaler, Palo Alto Networks e Microsoft, se destacam por suas plataformas que garantem acesso seguro e contínuo, além de monitoramento e prevenção de ameaças. A escolha de fornecedores adequados é crucial para a construção de uma infraestrutura resiliente e segura, especialmente em um contexto onde a conformidade com regulamentações, como a LGPD, se torna cada vez mais importante.

No cenário atual de cibersegurança, as soluções de Detecção e Resposta de Endpoint (EDR) se tornaram essenciais para proteger as organizações contra ameaças cibernéticas sofisticadas. O artigo destaca as dez melhores empresas de EDR em 2025, que se destacam por suas capacidades de monitoramento contínuo, análise avançada e resposta automatizada a incidentes. As soluções EDR vão além da proteção tradicional, utilizando inteligência artificial e aprendizado de máquina para detectar comportamentos anômalos e ameaças zero-day. Além disso, a arquitetura nativa em nuvem e a evolução para Detecção e Resposta Estendida (XDR) são tendências importantes no mercado. Entre as empresas mencionadas, CrowdStrike, Microsoft Defender e SentinelOne se destacam por suas inovações e eficácia na proteção de endpoints. A demanda por plataformas EDR robustas está crescendo, impulsionada pelo aumento de ataques de ransomware e crimes cibernéticos patrocinados por estados-nação. Para os CISOs brasileiros, a escolha de uma solução EDR adequada é crucial para garantir a segurança dos dados e a continuidade dos negócios.

Com o aumento das ameaças cibernéticas e a complexidade dos ataques, as empresas estão cada vez mais buscando soluções de Managed Detection and Response (MDR). Essas empresas oferecem monitoramento contínuo e resposta a incidentes, atuando como centros de operações de segurança (SOC) completos. O artigo destaca as 10 melhores empresas de MDR para 2025, considerando fatores como a escassez de talentos em cibersegurança, a fadiga de alertas e a necessidade de uma resposta rápida a ameaças sofisticadas. Entre as empresas mencionadas, estão a SentinelOne, Arctic Wolf e CrowdStrike, cada uma com suas características únicas, como velocidade de resposta, personalização do serviço e integração com ferramentas de terceiros. A demanda por serviços de MDR está em alta, pois muitas organizações não conseguem manter equipes de segurança internas adequadas. O artigo também discute a importância de uma abordagem proativa na detecção de ameaças, que é essencial para proteger ativos digitais em um cenário de ameaças em constante evolução.

Pesquisadores de cibersegurança descobriram um módulo Go malicioso que se apresenta como uma ferramenta de brute-force para SSH, mas na verdade exfiltra credenciais para um bot do Telegram controlado pelo criador do malware. Nomeado ‘golang-random-ip-ssh-bruteforce’, o pacote foi publicado em 24 de junho de 2022 e está vinculado a uma conta do GitHub que foi removida, mas ainda está disponível em pkg.go.dev. O módulo escaneia endereços IPv4 aleatórios em busca de serviços SSH expostos na porta TCP 22, tentando logins com uma lista de nomes de usuário e senhas fracas. Após um login bem-sucedido, as credenciais são enviadas para um bot do Telegram. O malware desabilita a verificação de chave do host, permitindo conexões inseguras. A lista de senhas inclui combinações comuns como ‘root’, ‘admin’ e ‘12345678’. O código malicioso opera em um loop infinito, gerando endereços IPv4 e tentando logins simultâneos. O tráfego gerado parece normal, dificultando a detecção por controles de saída. Este incidente destaca a necessidade de vigilância e proteção contra ameaças emergentes na segurança da cadeia de suprimentos de software.

As ferramentas de monitoramento de rede são essenciais para a infraestrutura de TI moderna, garantindo a operação confiável dos ativos digitais de uma organização. Elas monitoram o desempenho, a disponibilidade e a saúde de dispositivos de rede, como roteadores, switches e servidores. Com a crescente adoção de ambientes híbridos e trabalho remoto, a demanda por soluções de monitoramento sofisticadas aumentou. As melhores ferramentas de 2025 não se limitam a verificações simples de disponibilidade; elas utilizam recursos avançados, como análises impulsionadas por IA e inspeção profunda de pacotes, para oferecer uma visão abrangente da saúde da rede. O artigo destaca ferramentas como Datadog, SolarWinds e Zabbix, que se destacam por suas funcionalidades, escalabilidade e facilidade de uso. A seleção das melhores ferramentas foi baseada em características abrangentes, desempenho, facilidade de uso, feedback de usuários e inovação. Com a complexidade crescente das redes, a escolha da ferramenta certa é crucial para que as equipes de TI possam identificar e resolver problemas proativamente, evitando interrupções críticas nos negócios.

Pesquisadores em cibersegurança alertam sobre campanhas que exploram vulnerabilidades conhecidas, expondo servidores Redis a atividades maliciosas, como botnets IoT e mineração de criptomoedas. A exploração da vulnerabilidade CVE-2024-36401, com uma pontuação CVSS de 9.8, permite que criminosos implantem kits de desenvolvimento de software (SDKs) legítimos ou aplicativos modificados para gerar renda passiva através do compartilhamento de rede. Os atacantes têm acessado instâncias do GeoServer expostas na internet desde março de 2025, utilizando um servidor de compartilhamento de arquivos privado para distribuir executáveis personalizados. Esses aplicativos consomem poucos recursos e monetizam a largura de banda dos usuários sem a necessidade de malware tradicional.

Um estudo da empresa de cibersegurança Guardio revela que navegadores de internet que utilizam inteligência artificial (IA) ainda não estão prontos para realizar tarefas sensíveis, como compras online e gerenciamento de e-mails, devido a vulnerabilidades que podem ser exploradas por golpistas. Tecnologias como Comet, do Perplexity, Copilot, do Microsoft Edge, e Aura, da OpenAI, foram testadas e mostraram-se suscetíveis a ataques de phishing e engenharia social. Em um dos testes, a IA Comet completou uma compra em um site falso sem solicitar confirmação do usuário, expondo dados sensíveis como informações de cartão de crédito. Outro teste demonstrou que a IA foi enganada por um e-mail de phishing que parecia legítimo, resultando no fornecimento de credenciais do usuário. A Guardio alerta que esses testes preliminares indicam que há mais problemas em potencial, sugerindo que os usuários evitem delegar tarefas críticas à IA e adotem medidas de segurança, como a autenticação de dois fatores. O estudo destaca a necessidade de cautela ao usar navegadores com IA para evitar o roubo de dados e outras fraudes.

Recentemente, o estúdio de design Nissan Creative Box, parte da rede global de design da montadora japonesa Nissan, foi alvo de um ataque de ransomware que resultou no roubo de mais de 4TB de dados sensíveis. O grupo de hackers Qilin, que se destacou por sua atividade em 2025, afirmou ter copiado mais de 400 mil arquivos, incluindo dados de design 3D, relatórios, fotos e vídeos relacionados a automóveis da Nissan. Os especialistas alertam que a divulgação desses dados pode prejudicar a competitividade da empresa, comparando o roubo a ‘furtar uma invenção de um inventor’. O grupo ameaçou liberar os dados se a Nissan não responder, o que poderia permitir que concorrentes tivessem acesso a informações detalhadas sobre projetos da empresa. Este incidente destaca a crescente ameaça de ransomware, com o Qilin tendo atacado quase 500 organizações no último ano, sendo 401 apenas em 2025. A situação levanta preocupações sobre a segurança de dados em um setor tão inovador e competitivo como o automotivo.

Pesquisadores de segurança da GoDaddy revelaram uma operação sofisticada de um Sistema de Direcionamento de Tráfego (TDS) que utiliza sites WordPress comprometidos para distribuir fraudes de suporte técnico desde 2017. Nomeada Help TDS, essa operação infectou cerca de 10.000 sites WordPress globalmente por meio de um plugin malicioso disfarçado de uma extensão legítima do WooCommerce. A operação se especializa na criação de alertas de segurança falsos do Microsoft Windows, utilizando técnicas avançadas de manipulação de navegador para prender as vítimas em páginas de golpe. Esses alertas falsos empregam funções JavaScript em tela cheia para ocultar elementos de navegação e implementar mecanismos de prevenção de saída, criando a ilusão de avisos de segurança legítimos. O plugin malicioso, denominado ‘woocommerce_inputs’, evoluiu rapidamente, introduzindo funcionalidades de coleta de credenciais e filtragem avançada de tráfego. A versão mais recente, 2.0.0, apresenta um design orientado a objetos e capacidades de atualização autônoma, permitindo que os atacantes mantenham operações persistentes. A operação exemplifica a evolução dos serviços cibernéticos criminosos, que se tornam cada vez mais sofisticados e orientados a serviços, maximizando as taxas de conversão de vítimas por meio de técnicas comprovadas de engenharia social.

Uma nova campanha de ciberataques foi identificada pela empresa de cibersegurança Darktrace, onde hackers utilizaram a infraestrutura de Servidores Privados Virtuais (VPS) para comprometer contas de Software como Serviço (SaaS) em diversos ambientes de clientes. A investigação, realizada em maio de 2025, revelou que os atacantes se aproveitaram de provedores de VPS, como Hyonix e Host Universal, para contornar controles de segurança tradicionais e manter acesso persistente a contas de e-mail comprometidas.

O grupo de ciberespionagem MURKY PANDA, vinculado à China, tem intensificado suas atividades de ataque, focando em setores governamentais, tecnológicos, acadêmicos e de serviços profissionais na América do Norte desde o final de 2024. Este adversário sofisticado demonstrou habilidades avançadas em exploração de ambientes em nuvem e na rápida utilização de vulnerabilidades conhecidas e zero-day, como a CVE-2023-3519, que afeta sistemas Citrix NetScaler, e a CVE-2025-3928, recentemente divulgada.

MURKY PANDA utiliza técnicas de exploração avançadas e um arsenal de malware personalizado, incluindo o CloudedHope, um executável desenvolvido em Golang que visa sistemas Linux. O malware possui medidas anti-análise e foi ofuscado para evitar detecções. O grupo também se destaca por comprometer relacionamentos de confiança em ambientes de nuvem, explorando vulnerabilidades em provedores de Software como Serviço (SaaS) para acessar dados de clientes downstream.

A empresa de recrutamento de TI The Computer Merchant confirmou que notificou 34.127 pessoas sobre uma violação de dados ocorrida em julho de 2024, que comprometeu nomes e números de Seguro Social. O grupo de ransomware Play reivindicou a responsabilidade pelo ataque, alegando ter roubado dados confidenciais, incluindo documentos de clientes, orçamentos, folhas de pagamento e contratos. A empresa não confirmou se pagou o resgate exigido, nem como a violação ocorreu, e levou mais de um ano para notificar algumas das vítimas. Em resposta ao incidente, a The Computer Merchant está oferecendo monitoramento de crédito gratuito e uma apólice de seguro de até US$ 1 milhão. O grupo Play, ativo desde junho de 2022, utiliza um modelo de dupla extorsão, exigindo pagamento tanto para a recuperação de sistemas quanto para evitar a divulgação dos dados roubados. Em 2024, foram registrados 854 ataques de ransomware nos EUA, comprometendo mais de 276,5 milhões de registros, e o Play já reivindicou 20 ataques confirmados em 2025. Este incidente destaca a crescente ameaça de ransomware e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Pesquisadores de cibersegurança alertam sobre atividades maliciosas do grupo de espionagem cibernética Murky Panda, vinculado à China, que utiliza relacionamentos de confiança na nuvem para invadir redes empresariais. O grupo é conhecido por explorar vulnerabilidades de dia zero e dia N, frequentemente obtendo acesso inicial por meio de dispositivos expostos à internet. Murky Panda, que já atacou servidores Microsoft Exchange em 2021, agora foca na cadeia de suprimentos de TI para acessar redes corporativas. Recentemente, o grupo comprometeu um fornecedor de uma entidade norte-americana, utilizando o acesso administrativo para criar uma conta de backdoor no Entra ID da vítima, visando principalmente o acesso a e-mails. Outro ator relacionado, Genesis Panda, tem explorado sistemas de nuvem para exfiltração de dados, enquanto Glacial Panda ataca o setor de telecomunicações, visando registros de chamadas e dados de comunicação. A crescente sofisticação desses grupos destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger ambientes de nuvem.

Pesquisadores em cibersegurança identificaram uma nova cadeia de ataque que utiliza e-mails de phishing para entregar um backdoor de código aberto chamado VShell. O ataque começa com um e-mail contendo um arquivo RAR malicioso, que inclui um nome de arquivo projetado para executar comandos no shell. O nome do arquivo contém código compatível com Bash, que é ativado quando o shell tenta interpretar o nome do arquivo. Essa técnica de injeção de comandos se aproveita de uma falha comum em scripts shell, permitindo que o malware seja executado sem ser detectado por antivírus, já que esses geralmente não escaneiam nomes de arquivos. Após a execução, o malware se comunica com um servidor de comando e controle para baixar um binário ELF, que então executa o VShell, um poderoso malware de acesso remoto. O ataque é disfarçado como um convite para uma pesquisa de produtos de beleza, atraindo vítimas com uma recompensa monetária. A análise destaca a evolução perigosa na entrega de malware Linux, onde um simples nome de arquivo pode ser usado para executar comandos arbitrários, representando uma ameaça significativa para dispositivos Linux em geral.

A Colt Technology Services, uma empresa de telecomunicações do Reino Unido, confirmou que dados sensíveis de seus clientes foram roubados em um recente ataque cibernético. O grupo de ransomware conhecido como Warlock reivindicou a responsabilidade pelo ataque e está leiloando um banco de dados com um milhão de arquivos na dark web por US$ 200.000. A empresa enfrentou interrupções em seus serviços, levando à necessidade de desativar partes de sua infraestrutura. A Colt está atualmente investigando a natureza exata dos dados comprometidos, que, segundo o Warlock, incluem informações financeiras, dados de arquitetura de rede e informações de clientes. A situação representa um risco significativo para os clientes, pois esses dados podem ser utilizados para fraudes, phishing e roubo de identidade. A Colt disponibilizou um canal para que os clientes solicitem uma lista dos arquivos expostos na dark web. Especialistas acreditam que o ataque pode ter sido direcionado a servidores SharePoint da empresa, que têm se mostrado alvos atraentes para hackers. Após o ataque, a Colt implementou medidas de segurança adicionais, como firewalls, para proteger seus servidores.

Pesquisadores de segurança identificaram que 12 aplicativos de VPN gratuitos disponíveis nas lojas Google Play e Apple App Store possuem impressões digitais de redes russas, enquanto seis têm traços chineses. Entre esses, cinco VPNs estão associadas a uma empresa baseada em Xangai, supostamente ligada ao exército chinês. Embora essas impressões não confirmem necessariamente a propriedade russa ou chinesa, especialistas recomendam cautela em relação à privacidade dos dados. Os aplicativos afetados incluem Turbo VPN e VPN Proxy Master, que utilizam kits de desenvolvimento de software (SDKs) de origem russa ou chinesa, indicando uma possível intenção de controle. A análise revela que a maioria dos aplicativos que se comunicam com domínios russos não está listada na App Store da Apple, sugerindo uma abordagem mais rigorosa da empresa em relação a VPNs ligadas à Rússia. O uso de VPNs não verificadas pode expor os usuários a riscos de privacidade, como rastreamento invasivo e vigilância estrangeira. Para uma navegação segura, recomenda-se considerar VPNs confiáveis como Privado VPN, Proton VPN e Windscribe VPN.

Recentemente, a Microsoft Threat Intelligence relatou um aumento significativo em ataques de engenharia social conhecidos como ClickFix, que visam usuários de Windows e Mac em todo o mundo. Esses ataques exploram a tendência dos usuários de resolver problemas técnicos menores, enganando-os para que executem comandos maliciosos disfarçados de etapas legítimas de solução de problemas. O ciclo típico de um ataque ClickFix começa com e-mails de phishing ou anúncios maliciosos que redirecionam os usuários para páginas de captura que imitam serviços confiáveis, como Google reCAPTCHA.

Uma campanha de espionagem cibernética sofisticada, atribuída ao grupo UAC-0057, vinculado ao governo da Bielorrússia, tem como alvo organizações na Ucrânia e na Polônia desde abril de 2025. Os atacantes utilizam arquivos comprimidos armados que contêm convites em PDF que parecem legítimos e planilhas Excel maliciosas. Os documentos de disfarce são projetados para parecer autênticos, como um convite oficial para uma assembleia geral da União de Municípios Rurais da Polônia e um documento sobre serviços do Ministério da Transformação Digital da Ucrânia. Após a execução de macros ofuscadas em arquivos XLS, os atacantes conseguem instalar DLLs maliciosas que coletam informações do sistema. A infraestrutura de suporte do UAC-0057 demonstra técnicas de imitação sofisticadas, registrando domínios que se assemelham a sites legítimos. A persistente mira na Ucrânia e na Polônia reflete os interesses geopolíticos do grupo, alinhados com o governo bielorrusso.

Um grupo avançado de ameaças persistentes (APT) sul-asiático está realizando uma campanha de espionagem direcionada a indivíduos ligados a forças militares em países como Sri Lanka, Bangladesh, Paquistão e Turquia. A operação combina técnicas tradicionais de phishing com a implantação de malware móvel, comprometendo smartphones de pessoas próximas ao setor militar e extraindo comunicações sensíveis, listas de contatos e documentos operacionais. Os atacantes utilizaram documentos PDF com temas militares como vetores de acesso inicial, redirecionando as vítimas para uma infraestrutura sofisticada de domínios de phishing. Mais de 40 domínios falsos foram identificados, imitando organizações de defesa da região. O componente móvel da APT é centrado em uma versão modificada do Rafel RAT, disfarçada como aplicativos legítimos, que solicita permissões extensivas para comprometer completamente os dispositivos. A análise dos dados comprometidos revelou uma coleta de inteligência significativa, incluindo mensagens SMS e documentos operacionais, com a maioria das vítimas localizadas no Sul da Ásia, especialmente em Bangladesh e Paquistão. A persistência e sofisticação da campanha indicam que se trata de um ator estatal ou próximo a um estado, realizando operações estratégicas de coleta de inteligência no setor de defesa sul-asiático.

Uma vulnerabilidade crítica na arquitetura de Conexão de API do Microsoft Azure permitiu a completa exploração de recursos em múltiplos tenants na nuvem. A falha, descoberta por um pesquisador, foi corrigida pela Microsoft em uma semana após sua divulgação. O problema estava relacionado à infraestrutura compartilhada do Azure, que processa trocas de tokens de autenticação entre aplicações e serviços de backend. A vulnerabilidade permitia que atacantes acessassem serviços conectados, como Azure Key Vaults e bancos de dados, em diferentes tenants. O exploit utilizou um endpoint não documentado chamado DynamicInvoke, que permitia chamadas arbitrárias em Conexões de API, possibilitando acesso administrativo a serviços conectados globalmente. A falha foi classificada como uma séria ameaça, especialmente para organizações que armazenam credenciais sensíveis no Azure Key Vault. A descoberta ressalta os riscos de segurança em arquiteturas de nuvem compartilhadas, onde sistemas multi-tenant podem criar vetores de ataque inesperados.

Um novo ataque cibernético sofisticado foi descoberto, visando profissionais de segurança através de um pacote Go malicioso chamado golang-random-ip-ssh-bruteforce. Este pacote, que se disfarça como uma ferramenta legítima de teste de força bruta SSH, exfiltra secretamente credenciais de login bem-sucedidas para um ator de ameaça de língua russa via Telegram. O funcionamento do pacote envolve um loop infinito que gera endereços IPv4 aleatórios e verifica o acesso ao serviço SSH na porta TCP 22. Ao encontrar um servidor SSH acessível, ele tenta autenticações usando uma lista de senhas padrão, desabilitando a verificação de chaves de host, o que permite conexões inseguras. As credenciais roubadas são enviadas para um bot do Telegram, transformando os usuários em coletadores involuntários de dados para operações cibernéticas criminosas. O pacote foi publicado em junho de 2022 por um usuário do GitHub identificado como IllDieAnyway, que é avaliado como um ator de ameaça de língua russa. A recomendação é tratar todas as ferramentas ofensivas de fontes não confiáveis como hostis e implementar controles rigorosos para APIs de mensagens.

O Aspire Rural Health System, localizado em Michigan, está notificando 138.386 pessoas sobre uma violação de dados resultante de um ataque cibernético que começou em novembro de 2024 e foi descoberto em janeiro de 2025. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque, que comprometeu informações sensíveis, incluindo nomes, datas de nascimento, números de Seguro Social, informações financeiras, dados médicos e muito mais. A violação foi detectada após uma interrupção técnica em 6 de janeiro de 2025, e as investigações continuaram até julho de 2025. Os indivíduos afetados estão sendo oferecidos serviços gratuitos de monitoramento de crédito, especialmente aqueles cujos números de Seguro Social foram comprometidos. Este incidente destaca a crescente ameaça de ataques de ransomware no setor de saúde, que já sofreu 171 ataques em 2024, afetando cerca de 28,4 milhões de registros. O grupo BianLian, ativo desde 2021, já foi responsável por 88 ataques, com um foco significativo em empresas de saúde, o que levanta preocupações sobre a segurança de dados nesse setor crítico.

Davis Lu, um cidadão chinês de 55 anos, foi condenado a quatro anos de prisão por sabotagem em sua antiga empresa, onde atuava como desenvolvedor de software. Lu introduziu malware personalizado que causou falhas nos sistemas e implementou um ‘kill switch’ que bloqueava o acesso de outros funcionários quando sua conta era desativada. O ataque ocorreu após uma reestruturação em 2018 que reduziu suas responsabilidades e acesso ao sistema. Lu criou loops infinitos em código Java, resultando em quedas de servidores e impediu logins de usuários. Além disso, ele deletou perfis de colegas e tentou apagar dados críticos no dia em que foi instruído a devolver seu laptop. As ações de Lu resultaram em perdas estimadas em centenas de milhares de dólares para a empresa. O caso destaca a importância de identificar ameaças internas precocemente, conforme ressaltado pelo FBI.

O hacker ético Marek Tóth revelou vulnerabilidades críticas em gerenciadores de senha populares, como Dashlane, Nordpass e 1Password, durante a conferência DEF CON 33. As falhas, relacionadas ao clickjacking, permitem que elementos invisíveis sejam sobrepostos na tela, levando os usuários a fornecerem dados sensíveis, como números de cartões de crédito e credenciais de acesso. Tóth testou 11 gerenciadores de senha e encontrou que a maioria não implementou proteções adequadas contra essas técnicas de invasão. Apesar de algumas empresas terem atualizado suas extensões para corrigir as falhas, versões anteriores ainda podem estar vulneráveis. O hacker alertou as empresas sobre as vulnerabilidades meses antes de sua divulgação pública, mas algumas, como 1Password e LastPass, minimizaram a gravidade do problema. Tóth recomenda que os usuários desativem o preenchimento manual de senhas e mantenham suas extensões atualizadas para evitar ataques. Estima-se que até 40 milhões de pessoas possam ter sido afetadas por essas vulnerabilidades.