Cibersegurança

Uma vulnerabilidade crítica no sistema Microsoft Entra ID foi descoberta, permitindo que cibercriminosos acessassem inquilinos virtuais sem deixar rastros. Identificada pelo especialista Dirk-Jan Mollema, a falha, classificada como CVE-2025-55241, envolvia dois elementos: os Tokens de Autor, que são tokens de autenticação não documentados, e um bug de Elevação de Privilégios. Esses tokens, emitidos por um sistema legado, não eram verificados por controles de segurança comuns, permitindo acesso não autorizado a dados sensíveis e configurações de outras organizações. Mollema demonstrou que, utilizando informações publicamente disponíveis, era possível gerar tokens e acessar ambientes alheios, criando usuários e alterando senhas sem gerar logs. A Microsoft reconheceu a vulnerabilidade em julho de 2025 e lançou patches para corrigi-la em setembro. A falha destaca a importância de descontinuar sistemas obsoletos e reforçar a segurança em serviços amplamente utilizados, como o Azure AD Graph.

A Microsoft identificou uma nova variante do malware XCSSET, uma backdoor para macOS que tem sido utilizada em ataques direcionados limitados. Este malware, que já era conhecido desde 2020 por infectar projetos de desenvolvimento no Xcode, agora apresenta novas funcionalidades que aumentam sua capacidade de roubo de dados. A nova versão é capaz de roubar informações do navegador Firefox e sequestrar a área de transferência do sistema, substituindo endereços de criptomoedas por aqueles dos atacantes, o que pode resultar em perdas financeiras significativas para as vítimas. Além disso, o XCSSET implementa um método de persistência que o torna mais difícil de ser detectado e removido. Embora a Microsoft tenha observado apenas ataques limitados até o momento, a situação é preocupante, levando Apple e GitHub a remover repositórios maliciosos associados. É essencial que desenvolvedores e usuários de macOS estejam cientes dessa ameaça e adotem medidas de segurança adequadas.

Em 2025, o LummaStealer se destacou como um ladrão de informações, atacando setores como telecomunicações, saúde, bancos e marketing. Apesar de uma operação policial em maio que interrompeu suas atividades, novas variantes do malware surgiram. A análise do Netskope Threat Labs revelou que o LummaStealer utiliza técnicas avançadas de ofuscação e evasão, dificultando a detecção por métodos tradicionais. O instalador do malware se disfarça como um instalador NSIS e, ao ser descompactado, revela um script ofuscado que executa um payload em AutoIt. Este script implementa várias verificações para evitar ambientes de análise, como a verificação de variáveis de ambiente e processos de virtualização. Além disso, o LummaStealer utiliza técnicas de persistência, como a criação de atalhos na pasta de inicialização do Windows. A detecção do malware é aprimorada por um modelo de machine learning que analisa comportamentos em um ambiente isolado, permitindo identificar ameaças novas com alta confiança. Essa abordagem demonstra a eficácia da inteligência artificial na luta contra malware sofisticado.

Um estudo da empresa de cibersegurança Resecurity revelou evidências de colaboração entre três grupos de cibercrime de língua inglesa: LAPSUS$, Scattered Spider e ShinyHunters. Esses grupos formam um ecossistema de crime cibernético adaptável, que tem como alvo corporações da Fortune 100 e agências governamentais entre 2023 e 2025. Em agosto de 2025, eles uniram forças em um canal do Telegram para coordenar ameaças e oferecer um novo serviço de ransomware chamado ‘shinysp1d3r’. A pesquisa indica que Scattered Spider fornece acesso inicial aos alvos, enquanto LAPSUS$ participa de campanhas coordenadas, incluindo ataques a ambientes da Salesforce e Snowflake. Os ataques recentes demonstraram táticas semelhantes entre os grupos, como engenharia social avançada e técnicas de SIM swapping. Entre as vítimas estão grandes companhias aéreas e marcas de luxo, com impactos financeiros significativos. Além disso, há preocupações sobre a violação de sistemas de aplicação da lei, o que representa uma escalada nas ações contra os grupos. Apesar de anunciarem sua ‘aposentadoria’, a Resecurity acredita que eles continuam a operar de forma discreta, exigindo atenção contínua das empresas em relação a essas ameaças emergentes.

Uma nova campanha de botnet, classificada como Loader-as-a-Service, tem se mostrado altamente eficaz na exploração de roteadores SOHO e dispositivos IoT, aumentando em 230% entre julho e agosto de 2025. A pesquisa da CloudSEK revelou que atacantes estão utilizando logs de comando e controle expostos para automatizar a injeção de comandos e entrega de payloads, como o Mirai. Os atacantes exploram parâmetros POST não sanitizados em interfaces de gerenciamento web, testando credenciais padrão e realizando injeções de comandos. Uma vez que o acesso é obtido, os dispositivos são mapeados para coleta de informações, como endereços MAC e versões de firmware, permitindo a instalação de binários maliciosos para recrutamento em DDoS ou mineração de criptomoedas. A campanha também se aproveita de CVEs conhecidos em pilhas empresariais, como falhas no Oracle WebLogic e vulnerabilidades em plugins do WordPress. A recomendação é implementar filtragem de saída para bloquear tráfego malicioso e reforçar a segurança das interfaces web expostas. A segmentação de redes IoT e a aplicação de patches de firmware são essenciais para mitigar os riscos associados a essa ameaça emergente.

Em setembro de 2025, a Zscaler ThreatLabz revelou uma campanha cibernética sofisticada chamada ClickFix, atribuída ao grupo APT COLDRIVER, vinculado à Rússia. A campanha visa membros da sociedade civil russa, utilizando engenharia social e malware leve para roubo de documentos e acesso persistente. O ataque começa em uma página maliciosa que se disfarça de centro de informações para ONGs e defensores dos direitos humanos. Os visitantes são induzidos a clicar em uma caixa de verificação falsa do Cloudflare, que copia um comando malicioso para a área de transferência. Ao executar o comando, o malware BAITSWITCH é carregado, permitindo que o invasor estabeleça uma conexão com o servidor de comando e controle (C2).

Um novo relatório apresentado na Virus Bulletin 2025 revela as operações complexas do grupo DeceptiveDevelopment, um ator de ameaças alinhado à Coreia do Norte que colabora com trabalhadores de TI fraudulentos para comprometer organizações globalmente. A campanha combina cibercrime com fraudes de emprego, visando desenvolvedores de software por meio de esquemas elaborados de engenharia social. Os operadores se passam por recrutadores em plataformas como LinkedIn e Upwork, oferecendo oportunidades de trabalho atraentes. As vítimas são solicitadas a realizar desafios de codificação que envolvem o download de projetos de repositórios privados, onde o código malicioso está oculto. O conjunto de ferramentas do grupo inclui várias famílias de malware sofisticadas, como BeaverTail, um infostealer em JavaScript e C++, e InvisibleFerret, um RAT modular em Python. Recentemente, o WeaselStore, um infostealer multiplataforma em Go, foi introduzido, permitindo a execução em sistemas Windows, Linux e macOS. As táticas de engenharia social evoluíram para incluir técnicas ClickFix, levando as vítimas a sites falsos de entrevistas de emprego que, em vez de resolver problemas técnicos, baixam e executam malware. A conexão do DeceptiveDevelopment com operações de fraude de trabalhadores de TI da Coreia do Norte aumenta os riscos para empregadores, que podem estar contratando indivíduos com identidades roubadas. As organizações devem implementar medidas de segurança abrangentes para combater essas campanhas sofisticadas.

O artigo destaca a importância da Simulação de Quebras e Ataques (Breach and Attack Simulation - BAS) como uma ferramenta essencial para validar a segurança cibernética das empresas. Assim como os testes de colisão na indústria automobilística, que revelam falhas de design, o BAS simula comportamentos adversários para identificar vulnerabilidades nas defesas de segurança antes que possam ser exploradas por atacantes. Dados do Blue Report 2025 mostram que a eficácia na prevenção de ataques caiu de 69% para 62% em um ano, e apenas 14% dos comportamentos de ataque geraram alertas, evidenciando a necessidade de uma abordagem mais prática e baseada em evidências. O BAS não apenas identifica falhas, mas também demonstra a eficácia das defesas em situações reais, transformando a ansiedade dos CISOs em confiança. Com a integração de inteligência artificial, o BAS promete antecipar como as defesas se comportarão diante de novas ameaças. O artigo conclui que, para os CISOs, a conversa deve mudar de monitoramento para prova de eficácia, enfatizando que as empresas precisam demonstrar resiliência e não apenas conformidade.

O grupo de ameaças persistentes avançadas (APT) russo conhecido como COLDRIVER, também chamado de Callisto, Star Blizzard e UNC4057, está por trás de uma nova onda de ataques do tipo ClickFix, que visa entregar duas novas famílias de malware, BAITSWITCH e SIMPLEFIX. Detectada pelo Zscaler ThreatLabz, a campanha multiestágio utiliza BAITSWITCH como um downloader que, por sua vez, instala o backdoor PowerShell SIMPLEFIX. Os ataques têm como alvo uma variedade de setores, especialmente organizações não governamentais e defensores dos direitos humanos, refletindo a estratégia do grupo de focar em membros da sociedade civil conectados à Rússia. A técnica ClickFix, que envolve enganar usuários para executar comandos maliciosos sob a aparência de completar verificações CAPTCHA, continua a ser uma via de infecção eficaz. Além disso, a Kaspersky relatou uma nova campanha de phishing focada em empresas russas, realizada pelo grupo BO Team, que utiliza arquivos RAR protegidos por senha para distribuir backdoors. Outro grupo, Bearlyfy, tem se destacado por ataques de ransomware, inicialmente visando pequenas empresas antes de escalar para alvos maiores. Esses desenvolvimentos ressaltam a crescente sofisticação e a diversidade das ameaças cibernéticas direcionadas à Rússia e seus aliados.

No ambiente digital atual, a gestão segura e eficiente de dispositivos distribuídos é um dos principais desafios enfrentados pelas equipes de TI. O artigo destaca a crescente adoção de softwares de Gerenciamento Autônomo de Endpoints (AEM) como uma solução para automatizar tarefas manuais, simplificar a conformidade e proteger os endpoints contra ameaças cibernéticas. Os melhores softwares de AEM não apenas monitoram, mas também preveem, automatizam e previnem problemas antes que eles afetem o fluxo de trabalho.

A nova versão 5.0 do ransomware LockBit representa um avanço significativo em suas operações de ransomware como serviço (RaaS). Pela primeira vez, o LockBit oferece binários totalmente suportados para Windows, diversas distribuições Linux e hipervisores VMware ESXi, permitindo que atacantes comprometam simultaneamente endpoints, servidores e hosts de virtualização. Essa capacidade de ataque multiplataforma reduz drasticamente o tempo de impacto, afetando tanto as camadas de produção quanto de virtualização. Após a desarticulação da infraestrutura do LockBit em fevereiro de 2024, seus afiliados rapidamente migraram para novos canais de comando e controle, demonstrando resiliência e inovação. A versão 5.0 introduz técnicas avançadas de evasão e criptografia, como execução em memória e rotinas de criptografia paralela, dificultando a resposta a incidentes e a recuperação baseada em backups. Para se proteger contra essa ameaça, as organizações devem adotar uma estratégia de defesa em profundidade, que inclua segmentação de rede, controles de acesso, proteção de endpoints e servidores, segurança de hipervisores e rigor na recuperação de dados.

O National Cyber Security Centre (NCSC) alertou sobre uma campanha de malware persistente que ataca dispositivos da série Cisco ASA 5500-X, utilizando uma vulnerabilidade 0-day para implantar os malwares RayInitiator e LINE VIPER. Esses malwares permitem execução remota de comandos, acesso persistente e possível exfiltração de dados. A Cisco confirmou que o mesmo ator de ameaça, identificado anteriormente, está explorando novas falhas nos dispositivos ASA para obter acesso root e implantar cargas úteis personalizadas. O NCSC recomenda que as organizações afetadas apliquem atualizações de segurança, auditem logs de dispositivos e isolem sistemas com comportamentos anômalos. A falha afeta versões específicas do firmware e é explorada através de pacotes de rede especialmente elaborados que contornam controles de autenticação. O NCSC também enfatiza a importância de substituir ou atualizar unidades obsoletas, pois dispositivos sem suporte representam riscos significativos de segurança. A análise detalhada do malware, incluindo assinaturas e padrões de rede, está disponível no relatório do NCSC, que também sugere práticas recomendadas para gerenciar hardware obsoleto.

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) alertou sobre a exploração de falhas de segurança em firewalls da Cisco, resultando em ataques de dia zero que implantaram malwares como RayInitiator e LINE VIPER. Esses malwares são considerados mais sofisticados do que os utilizados em campanhas anteriores, apresentando técnicas avançadas de evasão. A Cisco iniciou investigações em maio de 2025, após ataques a agências governamentais, que visavam dispositivos da série Adaptive Security Appliance (ASA) 5500-X. Os atacantes exploraram vulnerabilidades críticas, como CVE-2025-20333, com um CVSS de 9.9, para contornar autenticações e executar códigos maliciosos. Além disso, modificações no ROMMON foram detectadas, permitindo persistência após reinicializações. A campanha está ligada ao grupo de hackers UAT4356, supostamente vinculado ao governo chinês. A Cisco também corrigiu uma falha crítica (CVE-2025-20363) que poderia permitir a execução de código arbitrário. O Centro Canadense de Cibersegurança recomendou que organizações atualizassem seus sistemas imediatamente para mitigar os riscos.

Pesquisadores em cibersegurança identificaram uma versão atualizada do malware XCSSET, que tem sido observado em ataques limitados. De acordo com um relatório da equipe de Inteligência de Ameaças da Microsoft, essa nova variante apresenta mudanças significativas no direcionamento a navegadores, sequestro de clipboard e mecanismos de persistência. O malware utiliza técnicas sofisticadas de criptografia e ofuscação, além de scripts AppleScript compilados para execução discreta. A exfiltração de dados foi ampliada para incluir informações do navegador Firefox. O XCSSET é um malware modular projetado para infectar projetos do Xcode, utilizados por desenvolvedores de software, e sua distribuição ainda não está clara, mas suspeita-se que ocorra através de arquivos de projeto compartilhados. A nova versão inclui um submódulo que monitora o conteúdo da área de transferência em busca de padrões de endereços de carteiras de criptomoedas, substituindo-os por endereços controlados por atacantes. Para mitigar essa ameaça, recomenda-se que os usuários mantenham seus sistemas atualizados e tenham cautela ao copiar dados sensíveis.

A empresa de cibersegurança watchTowr Labs revelou que uma vulnerabilidade crítica no software Fortra GoAnywhere Managed File Transfer (MFT), identificada como CVE-2025-10035, está sendo explorada ativamente desde 10 de setembro de 2025, uma semana antes de sua divulgação pública. Essa falha, classificada com CVSS 10.0, permite a injeção de comandos sem autenticação devido a uma vulnerabilidade de desserialização no License Servlet. A exploração envolve o envio de requisições HTTP manipuladas para interagir com o servlet exposto, possibilitando a execução remota de código (RCE). A empresa também identificou uma cadeia de três problemas, incluindo uma falha de controle de acesso conhecida desde 2023. Os atacantes têm utilizado essa vulnerabilidade para criar contas de administrador e carregar cargas adicionais maliciosas. A atividade dos atacantes foi rastreada até um IP associado a ataques de força bruta. Dada a gravidade da situação, é crucial que os usuários do Fortra GoAnywhere apliquem as correções disponíveis imediatamente.

A Microsoft Threat Intelligence identificou uma nova variante do malware XCSSET, que representa riscos significativos para desenvolvedores de aplicativos macOS que utilizam o Xcode. Esta versão aprimorada introduz técnicas de ofuscação avançadas, capacidades expandidas de exfiltração de dados e mecanismos de persistência que evoluíram desde sua documentação inicial em março de 2025. O malware opera por meio de uma cadeia de infecção em quatro etapas, inserindo código malicioso em arquivos de projeto. Quando os desenvolvedores constroem projetos infectados, o XCSSET é executado silenciosamente em segundo plano, explorando a confiança que os desenvolvedores depositam em repositórios de código compartilhados. Uma característica preocupante é o módulo de monitoramento da área de transferência, que pode substituir endereços de carteiras de criptomoedas, redirecionando transações. Além disso, o malware agora também coleta dados do navegador Firefox, aumentando seu potencial de coleta de informações. O XCSSET desativa recursos críticos de segurança do macOS, deixando sistemas infectados vulneráveis a outras ameaças. Para mitigar esses riscos, recomenda-se que as organizações implementem procedimentos rigorosos de verificação de projetos no Xcode e utilizem o Microsoft Defender para Endpoint.

A Cloudflare, empresa de segurança e redes, conseguiu mitigar um ataque DDoS que atingiu o pico recorde de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). O ataque, que durou apenas 40 segundos, é considerado o maior já registrado na história da internet. Este tipo de ataque visa sobrecarregar sistemas e recursos de rede, tornando serviços lentos ou indisponíveis. A Cloudflare já havia neutralizado um ataque anterior de 11,5 Tbps há três semanas, e um de 7,3 Tbps dois meses antes. O tráfego gerado pelo ataque recente foi comparado a transmitir um milhão de vídeos em 4K simultaneamente. A identidade da vítima não foi divulgada, mas a botnet AISURU, que infectou mais de 300.000 dispositivos, é apontada como responsável pelos ataques. Essa botnet tem como alvo dispositivos como câmeras IP e roteadores, aumentando sua atividade desde abril de 2025, após uma atualização comprometida de firmware de roteadores Totolink. O aumento de 358% nos ataques DDoS em 2025 destaca a crescente preocupação com a segurança cibernética.

Na última quarta-feira (25), a Agência Nacional de Crimes do Reino Unido (NCA) prendeu um homem de aproximadamente 40 anos, suspeito de estar envolvido na invasão aos sistemas da Collins Aerospace, que ocorreu na semana anterior. O ataque, identificado como ransomware, causou o cancelamento e atraso de voos em diversos aeroportos europeus, incluindo os de Bruxelas, Berlim, Cork, Dublin e Heathrow. O software MUSE, utilizado para unificar check-in e marcação de bagagens, foi diretamente afetado, resultando em perturbações significativas nas operações aéreas. O delegado-chefe Paul Foster destacou que, embora a prisão seja um passo positivo, a investigação ainda está em estágios iniciais e o cibercrime continua a ser uma ameaça global. Até o momento, não foram encontradas ligações com grupos hackers conhecidos. O homem foi liberado sob fiança condicional enquanto as investigações prosseguem.

As autoridades de Union County, Ohio, confirmaram um incidente de cibersegurança que afetou 45.487 pessoas devido a uma violação de dados ocorrida entre 6 e 18 de maio de 2025. O ataque, classificado como um sequestro de dados (ransomware), resultou no comprometimento de informações sensíveis, incluindo números de Seguro Social, dados de cartões de pagamento, informações financeiras, impressões digitais, dados médicos e números de identificação emitidos pelo estado, como carteiras de motorista e passaportes. Embora o grupo responsável pelo ataque ainda não tenha se manifestado publicamente, a investigação revelou que os criminosos acessaram a rede do condado durante um período de 12 dias. Union County está oferecendo monitoramento de identidade gratuito e um seguro contra roubo de identidade de até US$ 1 milhão para as vítimas afetadas, com prazo para inscrição até 31 de dezembro de 2025. Este incidente é um dos maiores vazamentos de dados de 2025, destacando a crescente ameaça de ataques de ransomware a entidades governamentais nos Estados Unidos, que já registraram 61 ataques confirmados até o momento, comprometendo mais de 431.000 registros.

O ator de ameaças conhecido como Vane Viper foi identificado como um fornecedor de tecnologia publicitária maliciosa, utilizando uma rede complexa de empresas de fachada para evitar responsabilidades. De acordo com um relatório técnico da Infoblox, em colaboração com Guardio e Confiant, Vane Viper tem fornecido infraestrutura para malvertising, fraudes publicitárias e proliferação de ciberameaças por pelo menos uma década. O grupo não apenas intermedia tráfego para distribuidores de malware e phishers, mas também realiza suas próprias campanhas. Uma técnica notável utilizada por Vane Viper é o abuso de permissões de notificações push, permitindo que anúncios sejam exibidos mesmo após o usuário sair da página inicial. A análise revelou que Vane Viper é responsável por cerca de 1 trilhão de consultas DNS em redes de clientes, explorando centenas de milhares de sites comprometidos. Além disso, a operação registra um grande número de novos domínios mensalmente, com picos de até 3.500 domínios em um único mês. A empresa PropellerAds, que nega qualquer envolvimento em atividades maliciosas, está ligada a Vane Viper, levantando preocupações sobre a segurança das plataformas de publicidade digital. Este cenário representa um risco significativo para a segurança cibernética, especialmente em um contexto onde a conformidade com a LGPD é crucial.

A Cisco emitiu um alerta sobre duas vulnerabilidades críticas em seu software de firewall, afetando o Cisco Secure Firewall Adaptive Security Appliance (ASA) e o Cisco Secure Firewall Threat Defense (FTD). As falhas, identificadas como CVE-2025-20333 e CVE-2025-20362, têm pontuações CVSS de 9.9 e 6.5, respectivamente. A primeira permite que um atacante remoto autenticado execute código arbitrário como root, enquanto a segunda possibilita que um atacante não autenticado acesse endpoints restritos. Ambas as vulnerabilidades estão sendo ativamente exploradas, com a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitindo uma diretiva de emergência para que agências federais identifiquem e mitiguem possíveis compromissos. A CISA também associou a exploração a um ator de ameaças conhecido como ArcaneDoor, que já demonstrou capacidade de manipular a memória ROM dos dispositivos. A Cisco recomenda que os usuários apliquem patches imediatamente para evitar compromissos em suas redes.

Uma pesquisa realizada pelo Gartner Security revelou que cerca de 62% das empresas já foram alvo de ataques utilizando deepfake, uma tecnologia que combina engenharia social e phishing para roubar dados ou dinheiro. Os ataques frequentemente envolvem a imitação de executivos por meio de vídeos ou áudios falsificados, além da exploração de ferramentas de verificação automatizadas, como reconhecimento facial e de voz. O diretor sênior do Gartner, Akif Khan, destacou que a engenharia social continua sendo uma ferramenta eficaz para golpistas, tornando difícil a identificação de fraudes por parte de funcionários comuns. Para mitigar esses riscos, Khan sugere que as organizações implementem soluções técnicas inovadoras, como ferramentas de detecção de deepfakes em plataformas de videoconferência, e promovam treinamentos de conscientização para os colaboradores. Além disso, recomenda a revisão de processos de negócios, como a autorização de pagamentos, utilizando autenticação multi-fator (MFA) para aumentar a segurança. O relatório também aponta que 32% das organizações enfrentaram ataques envolvendo inteligência artificial nos últimos 12 meses, evidenciando a crescente sofisticação das ameaças. Apesar de ⅔ dos clientes da Gartner não terem relatado ataques, a necessidade de atenção a essas ameaças é evidente, especialmente considerando as implicações de conformidade com a LGPD.

Recentemente, o LastPass, um popular gerenciador de senhas, alertou sobre uma campanha de phishing que visa usuários do macOS. Criminosos estão se passando pela marca para instalar malwares que roubam credenciais através de um método chamado ClickFix. O aplicativo falso, que tenta se disfarçar como LastPass, é encontrado em buscas em motores como Google e Bing, e pode incluir capacidades de backdoor, permitindo acesso oculto aos dispositivos das vítimas. Além do LastPass, mais de 100 outros aplicativos, como 1Password e Dropbox, também estão sendo imitados. Os golpistas utilizam repositórios do GitHub para distribuir o malware, que é baixado após o usuário executar comandos no terminal do Mac. Este malware, conhecido como AMOS, é um serviço de malware que custa cerca de US$ 1.000 por mês para os criminosos. A LastPass está monitorando e reportando essas páginas falsas, mas a criação de novos repositórios é rápida, dificultando a remoção completa do malware. Especialistas recomendam que os usuários confiem apenas em sites oficiais para downloads e estejam atentos a possíveis imitações.

Uma vulnerabilidade crítica foi identificada na ferramenta de compartilhamento de arquivos ZendTo, permitindo que usuários autenticados realizem a travessia de caminhos do sistema e acessem ou modifiquem arquivos sensíveis de outros usuários. A falha, rastreada como CVE-2025-34508, afeta as versões 6.15-7 e anteriores do ZendTo. Um atacante pode explorar essa vulnerabilidade para ler logs do servidor, dados de usuários ou arquivos críticos da aplicação. A ZendTo lançou um patch na versão 6.15-8, e os administradores são aconselhados a atualizar imediatamente para evitar acessos não autorizados. A vulnerabilidade ocorre devido à falta de sanitização adequada dos parâmetros ‘chunkName’ e ’tmp_name’, permitindo que um invasor forneça um ’tmp_name’ malicioso que redireciona arquivos do servidor para seu diretório pessoal. Isso pode resultar em roubo de dados e até mesmo em condições de negação de serviço, caso arquivos essenciais sejam removidos ou corrompidos. A situação destaca a importância de validar e sanitizar entradas de usuários, além de implementar um controle rigoroso de permissões de arquivos.

O Volvo Group anunciou um vazamento de dados resultante de um ataque de ransomware direcionado à Miljödata, seu fornecedor de software de recursos humanos. O ataque, que criptografou sistemas críticos e interrompeu os serviços de gestão de RH, foi detectado em 23 de agosto, quando alertas de tráfego de rede irregular levaram a uma investigação. A análise forense realizada até 2 de setembro confirmou que os atacantes conseguiram exfiltrar arquivos contendo nomes e números de Seguro Social de funcionários da operação norte-americana da Volvo. Embora a infraestrutura de TI da Volvo não tenha sido comprometida, o incidente levanta preocupações sobre a segurança de fornecedores terceirizados. Para mitigar os riscos de roubo de identidade, a Volvo está oferecendo um serviço de proteção à identidade aos funcionários afetados. A empresa também está revisando seus procedimentos de gestão de fornecedores, implementando avaliações de risco mais rigorosas e atualizando contratos para reforçar a segurança. Este incidente destaca a crescente vulnerabilidade de ecossistemas de terceiros a ataques cibernéticos.

Desde 2019, o grupo de hackers APT Salt Typhoon, apoiado pelo Estado chinês, tem conduzido uma campanha de espionagem altamente direcionada contra redes de telecomunicações globais. Este grupo, alinhado ao Ministério da Segurança do Estado da China, utiliza implantes de firmware personalizados e rootkits em roteadores para manter acesso persistente e discreto em ambientes de telecomunicações nos EUA, Reino Unido, Taiwan e na União Europeia.

As operações começam com a exploração de vulnerabilidades conhecidas em dispositivos de rede, como roteadores e firewalls. Após a invasão, o grupo implanta ferramentas que sobrevivem a atualizações de software, permitindo a coleta de dados sensíveis, como registros de chamadas e informações de roteamento SS7. Um ataque em 2024 resultou no roubo de terabytes de metadados de operadoras como AT&T e Verizon.

O ransomware BQTLOCK, identificado recentemente, opera sob o modelo Ransomware-as-a-Service (RaaS) desde julho de 2025. Associado ao grupo hacktivista pro-Palestina Liwaa Mohammed, o malware utiliza uma metodologia de dupla extorsão, exigindo pagamentos que variam de 13 a 40 XMR (aproximadamente R$ 18.000 a R$ 54.000). Os atacantes impõem um prazo de 48 horas para que as vítimas entrem em contato, com a ameaça de dobrar o valor do resgate se não houver resposta. Após sete dias, as chaves de descriptografia são excluídas permanentemente, e os dados roubados são vendidos em um site controlado pelos criminosos.

O grupo de ransomware Qilin adicionou a cidade de Waxhaw, na Carolina do Norte, ao seu site de vazamento de dados após alegadamente roubar 619 GB de informações. Em um comunicado emitido em 14 de setembro de 2025, a cidade confirmou que sofreu um ataque cibernético na madrugada de 12 de setembro, que causou ‘irregularidades’ nos sistemas, mas garantiu que os serviços de emergência permaneceram operacionais. Embora a cidade tenha reconhecido que os criminosos conseguiram acessar alguns servidores, não houve confirmação de que dados pessoais foram comprometidos. O Qilin, que opera desde agosto de 2022 e já reivindicou 130 ataques confirmados, utiliza e-mails de phishing para disseminar seu ransomware. Este ataque é parte de uma onda crescente de ataques a organizações governamentais nos EUA, com 61 incidentes confirmados em 2025, destacando a vulnerabilidade do setor público a tais ameaças. A cidade de Waxhaw, que abriga cerca de 21.700 habitantes, continua suas operações normais, embora alguns serviços possam ser afetados.

O relatório Gcore Radar, publicado em setembro de 2025, revela um aumento alarmante de 41% no volume total de ataques DDoS em comparação ao ano anterior, com um pico de ataque atingindo 2,2 Tbps. O número total de ataques subiu de 969 mil no segundo semestre de 2024 para 1,17 milhão no primeiro semestre de 2025. Além do aumento em volume, os ataques estão se tornando mais sofisticados, com durações mais longas e estratégias em múltiplas camadas, refletindo uma mudança nos setores-alvo. O setor de tecnologia agora é o mais atacado, superando o de jogos, enquanto os serviços financeiros continuam a ser alvos frequentes devido ao seu alto potencial de interrupção. Os ataques de camada de aplicação também estão em ascensão, representando 38% do total, um aumento significativo em relação a 28% no final de 2024. O relatório destaca a necessidade urgente de defesas proativas e adaptativas para enfrentar essa nova realidade de cibersegurança.

O boletim semanal de cibersegurança destaca as últimas ameaças digitais, incluindo a atualização de firmware da SonicWall para remover malware rootkit em dispositivos SMA 100, após a descoberta de ataques por um ator identificado como UNC6148. Além disso, uma vulnerabilidade crítica (CVE-2025-10184) foi encontrada em smartphones OnePlus, permitindo que aplicativos maliciosos acessem mensagens de texto sem permissão do usuário. O CISA também relatou uma violação em uma agência federal dos EUA, onde hackers exploraram uma falha no GeoServer para comprometer a rede. A prisão de membros do grupo Scattered Spider, que usou engenharia social para realizar ataques, e o uso de arquivos SVG maliciosos em campanhas de phishing na América Latina, como AsyncRAT, também foram abordados. Essas informações ressaltam a necessidade de atualização constante e vigilância em cibersegurança, especialmente para empresas que operam em ambientes digitais complexos.

O grupo de ameaças associado à Coreia do Norte, conhecido como Contagious Interview, foi vinculado a uma nova backdoor chamada AkdoorTea, além de outras ferramentas como TsunamiKit e Tropidoor. A campanha, monitorada pela empresa de cibersegurança ESET sob o nome DeceptiveDevelopment, visa desenvolvedores de software em diversas plataformas, especialmente aqueles envolvidos com criptomoedas e projetos Web3. Os atacantes se fazem passar por recrutadores, oferecendo vagas atraentes em plataformas como LinkedIn e Upwork. Após o contato inicial, os alvos são solicitados a realizar uma avaliação em vídeo ou um exercício de programação que, na verdade, instala malware em seus sistemas. Os malwares identificados incluem BeaverTail, que exfiltra dados sensíveis, e WeaselStore, que atua como um RAT (trojan de acesso remoto). A campanha utiliza técnicas de engenharia social e ferramentas de código aberto, demonstrando um modelo de operação distribuído e criativo. Além disso, há uma conexão com um esquema de fraude de trabalhadores de TI da Coreia do Norte, que visa infiltrar agentes em empresas utilizando identidades roubadas. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que operam no setor de tecnologia e criptomoedas.

Pesquisadores de cibersegurança revelaram uma falha crítica no Salesforce Agentforce, uma plataforma para criação de agentes de inteligência artificial (IA), que pode permitir que atacantes exfiltratem dados sensíveis do sistema de gerenciamento de relacionamento com o cliente (CRM) da empresa. Nomeada de ForcedLeak, a vulnerabilidade possui uma pontuação CVSS de 9.4 e afeta organizações que utilizam a funcionalidade Web-to-Lead do Salesforce. O ataque ocorre por meio de uma injeção de prompt indireta, onde instruções maliciosas são inseridas em campos de dados externos, levando o sistema a gerar conteúdos proibidos ou a realizar ações não intencionais. O processo envolve cinco etapas, começando com o envio de um formulário Web-to-Lead contendo uma descrição maliciosa, seguido pelo processamento desse lead por um funcionário interno que utiliza um comando padrão de IA. A falha permite que dados sensíveis sejam transmitidos para um domínio controlado pelo atacante. A Salesforce já tomou medidas para mitigar a vulnerabilidade, resegurando o domínio expirado e implementando um mecanismo de lista de URLs confiáveis. Os usuários são aconselhados a auditar dados existentes e implementar validações rigorosas de entrada para detectar possíveis injeções de prompt.

Em setembro de 2025, o Zscaler ThreatLabz revelou uma campanha sofisticada do grupo APT COLDRIVER, vinculado à Rússia, que utiliza a técnica de engenharia social ClickFix. Tradicionalmente focado em phishing de credenciais, o grupo agora mira ONGs, jornalistas e defensores dos direitos humanos. A campanha começa com um site malicioso que imita um recurso informativo e induz a vítima a executar um comando malicioso que baixa o backdoor BAITSWITCH. Este backdoor estabelece persistência e se comunica com um servidor de comando e controle (C2) para baixar um segundo payload, o backdoor SIMPLEFIX. O SIMPLEFIX opera em um ciclo de três minutos, permitindo que os atacantes executem comandos e exfiltrarem dados. A campanha destaca a eficácia de vetores de ataque simples e a necessidade de controles de acesso rigorosos e soluções de segurança como o Windows AppLocker. O Zscaler classifica o BAITSWITCH como Win64.Downloader.BAITSWITCH e o SIMPLEFIX como PS.Backdoor.SIMPLEFIX, oferecendo cobertura contra essa ameaça em evolução.

Pesquisadores de cibersegurança descobriram uma campanha sofisticada de malware direcionada ao WordPress, que utiliza dois arquivos backdoor complementares para garantir acesso administrativo persistente a sites comprometidos. O primeiro componente, disfarçado como um plugin legítimo chamado ‘DebugMaster Pro’, cria uma conta de administrador não autorizada com credenciais fixas. Este malware oculta sua presença removendo-se das listagens de plugins e escondendo a nova conta de administrador. O segundo componente, um script chamado ‘wp-user.php’, atua como um mecanismo de segurança que monitora a conta de administrador criada, recriando-a sempre que for removida, garantindo assim o acesso contínuo. Os especialistas recomendam que os administradores de sites WordPress realizem verificações de integridade de arquivos, auditem contas de usuários e implementem sistemas de monitoramento de arquivos para detectar e mitigar essa ameaça. A descoberta ressalta a importância de varreduras de segurança regulares, que devem incluir componentes disfarçados que imitam funcionalidades legítimas do WordPress.

A comunidade de cibersegurança está em alerta devido a uma vulnerabilidade em câmeras da Hikvision, que tem sido explorada por atacantes para acessar informações sensíveis. Nos últimos dias, registros de honeypots mostraram um aumento nas tentativas de acesso ao endpoint /System/deviceInfo, utilizando um parâmetro ‘auth’ com credenciais codificadas em Base64. O valor decodificado, ‘admin:11’, sugere o uso de técnicas de força bruta para explorar senhas fracas, permitindo que invasores acessem informações críticas do dispositivo.

O SetupHijack é uma nova ferramenta de pesquisa em segurança de código aberto que explora condições de corrida e manipulação insegura de arquivos em processos de instalação do Windows para obter escalonamento de privilégios. A ferramenta monitora diretórios graváveis, como %TEMP%, %APPDATA% e %USERPROFILE%\Downloads, substituindo executáveis de instaladores por cargas úteis fornecidas pelo atacante, que são executadas com direitos elevados antes que as verificações de integridade sejam concluídas.

Os instaladores do Windows frequentemente colocam temporariamente executáveis em locais graváveis antes da execução. O SetupHijack opera no contexto de um usuário não privilegiado, escaneando continuamente esses diretórios. Quando um arquivo alvo aparece, a ferramenta rapidamente o substitui por uma carga útil personalizada, criando uma janela de corrida (TOCTOU). Se o processo privilegiado executar o arquivo sequestrado antes de verificar sua autenticidade, a carga útil do atacante é executada com privilégios de SYSTEM ou Administrador.

Pesquisadores de cibersegurança descobriram dois crates maliciosos escritos em Rust, chamados faster_log e async_println, que se disfarçam como uma biblioteca legítima chamada fast_log. Esses crates foram publicados por um ator de ameaça sob os pseudônimos rustguruman e dumbnbased em 25 de maio de 2025, acumulando 8.424 downloads. O código malicioso embutido nos crates é projetado para escanear arquivos de código-fonte em busca de chaves privadas de carteiras Solana e Ethereum, enviando as informações coletadas para um servidor de comando e controle (C2) via HTTP POST. A vulnerabilidade foi identificada após uma divulgação responsável, levando os mantenedores do crates.io a remover os pacotes e desativar as contas dos autores. O ataque, classificado como typosquatting, utiliza um logger funcional com um nome familiar, o que pode passar despercebido em revisões superficiais. A campanha destaca como uma pequena quantidade de código malicioso pode representar um risco significativo na cadeia de suprimentos de software, especialmente em ambientes de desenvolvimento e integração contínua.

Pesquisadores de cibersegurança alertam usuários de Mac sobre uma campanha que utiliza repositórios fraudulentos no GitHub para disseminar malware, especificamente o infostealer conhecido como Atomic Stealer. Os atacantes criam contas falsas no GitHub, imitando empresas confiáveis para induzir os usuários a baixar softwares falsos. Um exemplo recente envolveu páginas que se passavam pelo LastPass, levando os usuários a executar comandos no terminal do Mac que baixavam e instalavam o malware. Essa técnica de engenharia social é potencializada por estratégias de SEO, que fazem com que os links maliciosos apareçam nas primeiras posições dos resultados de busca. Embora algumas páginas tenham sido removidas, os atacantes frequentemente retornam com novos perfis, levantando preocupações sobre a eficácia das plataformas em proteger os usuários. Para se proteger, recomenda-se baixar softwares apenas de fontes verificadas, evitar comandos de sites desconhecidos e manter o sistema atualizado.

O Madison Elementary School District 38, localizado em Phoenix, Arizona, notificou cerca de 35 mil pessoas sobre uma violação de dados resultante de um ataque de ransomware realizado pelo grupo Interlock em abril de 2025. O ataque, que ocorreu em 7 de abril, foi facilitado por engenharia social, onde um funcionário da escola foi enganado. Embora a escola não tenha especificado quais dados foram comprometidos, a oferta de serviços de proteção de identidade sugere que informações sensíveis, como números de Seguro Social e dados financeiros, podem estar envolvidas. O grupo Interlock, ativo desde outubro de 2024, já realizou 29 ataques confirmados, sendo nove deles em instituições educacionais nos EUA. O ataque à Madison é o segundo maior em termos de registros afetados, com mais de 150 mil registros comprometidos em ataques confirmados no setor educacional dos EUA em 2025. A escola contratou a Arete para investigar a extensão da violação, que custou mais de 21 mil dólares. Até o momento, não está claro se um resgate foi exigido ou pago.

O grupo de ransomware Rhysida reivindicou a responsabilidade por um incidente de segurança cibernética que afetou a Administração de Trânsito de Maryland (MTA) em agosto de 2025. O ataque resultou em acesso não autorizado aos sistemas da MTA, causando a perda de dados e interrupções nos serviços de paratransito. Rhysida exigiu um resgate de 30 bitcoins, equivalente a aproximadamente 3,4 milhões de dólares, e publicou imagens de documentos supostamente roubados, incluindo cartões de Seguro Social e passaportes. A MTA confirmou a perda de dados, mas não divulgou detalhes específicos devido à sensibilidade da investigação em andamento. Até o momento, não está claro quantas pessoas foram afetadas ou se o resgate será pago. Rhysida, que opera um modelo de ransomware como serviço, já realizou 91 ataques confirmados desde sua fundação em 2023, comprometendo cerca de 5,5 milhões de registros. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos Estados Unidos, com 59 ataques confirmados em 2025, afetando mais de 386 mil registros.

Um novo relatório da Recorded Future revela que um grupo de ciberespionagem, anteriormente conhecido como TAG-100, foi reclassificado como RedNovember, supostamente patrocinado pelo Estado chinês. Entre junho de 2024 e julho de 2025, o grupo atacou organizações governamentais e do setor privado em várias regiões, incluindo América do Norte, América do Sul e Ásia. Utilizando ferramentas como o backdoor Pantegana e Cobalt Strike, RedNovember explorou vulnerabilidades em dispositivos de segurança de grandes empresas, como Check Point e Cisco. O foco do grupo inclui setores sensíveis, como defesa, aeroespacial e organizações de segurança. Recentemente, o grupo foi associado a ataques a contratantes de defesa dos EUA e a um ministério de relações exteriores na Ásia Central. A utilização de ferramentas de código aberto e serviços de VPN para ocultar suas atividades é uma estratégia comum entre grupos de espionagem, dificultando a atribuição de suas ações. O relatório destaca a necessidade de vigilância contínua e medidas de mitigação para proteger as organizações contra essas ameaças emergentes.

Uma vulnerabilidade na ferramenta Deep Research do ChatGPT, descoberta pela Radware, permitia que dados do Gmail de usuários fossem coletados sem que eles precisassem clicar em qualquer link. O recurso, lançado em fevereiro, foi projetado para realizar pesquisas mais robustas e rápidas, mas, ao se conectar às contas do Gmail, expôs informações pessoais como nome e endereço. A Radware testou a falha enviando e-mails a si mesmos com instruções ocultas, que permitiram que a IA coletasse dados e os enviasse a um endereço controlado pelos pesquisadores. A OpenAI, responsável pelo ChatGPT, corrigiu a falha em 3 de setembro e afirmou que não há evidências de que a vulnerabilidade tenha sido explorada por hackers. No entanto, a possibilidade de uso de dados para ataques de phishing no futuro permanece. A empresa ressaltou que a segurança é uma prioridade e que a análise da Radware contribuiu para a melhoria das ferramentas. Este incidente destaca a necessidade de vigilância contínua em relação à segurança de ferramentas de IA, especialmente aquelas que interagem com dados sensíveis dos usuários.

Um novo agente malicioso, denominado TA558, está por trás de uma série de ataques a hotéis no Brasil e na América Latina, com o objetivo de roubar dados de cartões de crédito de hóspedes. Os ataques, conhecidos como RevengeHotels, utilizam e-mails de phishing que imitam documentos legítimos, como recibos de reservas, para disseminar o malware VenomRAT. Este trojan de acesso remoto é capaz de evitar a detecção por antivírus e se propaga através de scripts em JavaScript e PowerShell, muitos dos quais apresentam características que sugerem a utilização de inteligência artificial na sua criação.

A empresa de segurança Point Wild identificou um novo malware chamado Raven Stealer, que ataca navegadores populares como Google Chrome e Microsoft Edge. O vírus, que se espalha principalmente por meio de fóruns obscuros e programas piratas, é desenvolvido em Delphi e C++. Ele se instala como um programa aparentemente inofensivo e, em seguida, executa um payload malicioso diretamente na memória do computador, evitando a detecção por antivírus. O Raven Stealer é capaz de roubar senhas, cookies e informações de pagamento, enviando esses dados para cibercriminosos via bots de mensagem no Telegram. A equipe de pesquisa recomenda o uso de antivírus atualizados e a cautela ao baixar programas piratas ou clicar em links suspeitos. O ataque destaca a evolução das técnicas de hackers, que agora utilizam ferramentas que podem ser operadas por indivíduos com pouco conhecimento técnico. Apesar de um problema de token no Telegram ter dificultado o envio de dados em alguns testes, o risco de roubo de informações permanece alto.

Um novo ataque cibernético em larga escala tem como alvo usuários de macOS, utilizando o GitHub Pages para distribuir malware disfarçado de softwares confiáveis, como Malwarebytes e LastPass. Os criminosos criam repositórios falsos com nomes enganosos, otimizando-os para aparecer nas primeiras posições dos resultados de busca. O principal malware utilizado é o Atomic Stealer (AMOS), que rouba credenciais, dados de navegadores e informações de carteiras de criptomoedas sem o conhecimento do usuário. O ataque se aproveita de técnicas de SEO para atrair vítimas, levando-as a executar scripts de instalação maliciosos. Uma vez instalado, o AMOS se torna persistente, criando arquivos que garantem sua execução em logins e inicializações do sistema. Além disso, o malware manipula o conteúdo da área de transferência para redirecionar endereços de carteiras de criptomoedas. Para se proteger, os usuários devem evitar comandos de instalação de fontes não verificadas e utilizar soluções de anti-malware em tempo real. Em caso de infecção, recomenda-se a remoção de arquivos suspeitos e a reinstalação completa do macOS a partir de backups verificados.

Pesquisadores demonstraram, durante os eventos Black Hat e DEF CON, como a técnica de domain fronting pode ser utilizada para ocultar tráfego malicioso por meio de plataformas populares como Google Meet, YouTube e servidores de atualização do Chrome. Essa técnica explora a discrepância entre os cabeçalhos Server Name Indication (SNI) e HTTP Host em requisições HTTPS, permitindo que atacantes disfarcem suas atividades como chamadas legítimas a domínios confiáveis. Em testes de prova de conceito, foi possível invocar funções maliciosas em infraestrutura controlada por atacantes dentro do Google Cloud Platform (GCP) ao manipular esses cabeçalhos. Essa abordagem representa uma nova forma de ataque, especialmente relevante para equipes de segurança, que agora precisam desenvolver capacidades de inspeção mais profundas para identificar padrões de roteamento incomuns, mesmo em tráfego que parece legítimo. A liberação de um redirecionador de código aberto para facilitar a adoção dessa técnica por equipes vermelhas destaca a necessidade urgente de vigilância e mitigação por parte das organizações, que devem equilibrar a utilização de serviços do Google com a detecção de anomalias para evitar que atacantes se escondam em tráfego aparentemente seguro.

As autoridades do Reino Unido prenderam um homem suspeito de ser o responsável por um ataque de ransomware que afetou operações em aeroportos europeus, incluindo o Heathrow, em Londres. A prisão ocorreu na terça-feira, em West Sussex, e o suspeito foi liberado sob fiança enquanto a investigação prossegue. O ataque, que atingiu os sistemas de manuseio de bagagens e check-in da Collins Aerospace, causou atrasos e cancelamentos de voos em aeroportos como Heathrow, Bruxelas, Dublin e Berlim. A empresa, que fornece software para várias companhias aéreas, teve que recorrer a processos manuais, resultando em grandes transtornos para os passageiros. O ataque foi confirmado como um caso de ransomware, onde arquivos críticos foram criptografados e um pagamento em criptomoeda foi exigido para a recuperação. A situação destaca a crescente vulnerabilidade do setor de aviação a ataques cibernéticos, com um aumento de 600% nos ataques contra entidades do setor no último ano. Especialistas pedem uma maior colaboração entre aeroportos, reguladores e fornecedores de software para mitigar riscos futuros.

Pesquisadores de segurança revelaram uma nova técnica de ataque que permite a invasores contornar soluções de Detecção e Resposta em Endpoint (EDR) ao executar arquivos executáveis portáteis (PE) diretamente na memória, sem gravá-los no disco. Essa técnica, conhecida como carregador PE em memória, possibilita a injeção e execução de binários maliciosos em processos considerados benignos. O método utiliza APIs do WinINet para baixar o arquivo PE de repositórios remotos e alocar memória virtual para executar o código malicioso. Durante testes, soluções como Microsoft Defender XDR e Sophos XDR não conseguiram detectar essa execução em memória, evidenciando uma falha crítica nas defesas tradicionais. Para mitigar esses riscos, as equipes de segurança devem implementar análises comportamentais e monitoramento de alocação de memória, além de reforçar políticas de whitelist de aplicativos e auditar requisições HTTP de processos críticos. A crescente adoção de métodos sem arquivo exige que as organizações evoluam suas abordagens de segurança, garantindo visibilidade abrangente tanto em operações de sistema de arquivos quanto em memória.

Uma análise de segurança revelou que mais de 150 aplicativos móveis populares estão expondo inadvertidamente dados sensíveis dos usuários devido a configurações inadequadas nos serviços do Google Firebase. A pesquisa, conduzida pelo especialista Icex0, auditou cerca de 1.200 aplicativos e descobriu que aproximadamente 80% deles utilizam serviços do Firebase. Entre os aplicativos vulneráveis, cerca de 150 apresentaram regras de segurança mal configuradas, permitindo acesso não autenticado a repositórios de dados críticos. As informações expostas incluem detalhes de pagamento, credenciais de usuários, mensagens privadas, senhas em texto claro, coordenadas de localização e chaves de acesso a serviços como AWS e GitHub. Um caso alarmante envolveu um aplicativo com mais de 100 milhões de downloads que armazenava fotos de documentos de identidade emitidos pelo governo, acessíveis sem autenticação. As falhas de segurança são atribuídas a quatro serviços do Firebase: Realtime Databases, Cloud Storage Buckets, Firestore e Remote Configuration. O problema é exacerbado por desenvolvedores que mantêm o modo de teste ou configuram regras de segurança excessivamente permissivas. Para mitigar essas vulnerabilidades, foi desenvolvido o OpenFirebase, um scanner de segurança automatizado que analisa arquivos APK para identificar configurações vulneráveis do Firebase, revelando uma quantidade significativa de dados expostos que ferramentas existentes não detectam.

Um novo artigo destaca a vulnerabilidade dos iframes de pagamento, que estão sendo explorados por atacantes através de técnicas de sobreposição maliciosa para roubar dados de cartões de crédito. A campanha de skimming do Stripe, ocorrida em agosto de 2024, exemplifica essa ameaça, onde 49 comerciantes foram comprometidos. Os atacantes injetam JavaScript malicioso em plataformas vulneráveis, como o WordPress, para substituir iframes legítimos por réplicas perfeitas que capturam informações do usuário sem que ele perceba.