Cibersegurança

A Visa e a Akamai Technologies firmaram uma parceria para combater fraudes em transações realizadas por meio de assistentes de inteligência artificial (IA). Com o aumento do uso de IA em compras online, surgem novas vulnerabilidades que podem ser exploradas por agentes maliciosos. Para mitigar esses riscos, as empresas implementaram o Protocolo de Agente Confiável (TAP) da Visa, que, em conjunto com a inteligência de ameaças da Akamai, garante a autenticidade do agente de IA envolvido na transação. O TAP utiliza reconhecimento profundo de usuários e inteligência comportamental para assegurar que as transações sejam realizadas por humanos e não por bots maliciosos. Além disso, a Visa introduziu a ferramenta Comércio Inteligente, que oferece suporte a desenvolvedores na criação de experiências de compra seguras. O relatório da Akamai de 2025 revelou um aumento de 300% no tráfego de bots de IA, destacando a urgência de soluções eficazes. O TAP promete uma implementação simples, com mudanças mínimas na infraestrutura existente, e proteção de ponta a ponta para os pagamentos, assegurando que as transações sejam realizadas conforme as instruções do comprador.

A WatchGuard anunciou a correção de uma vulnerabilidade crítica em seu sistema operacional Fireware OS, identificada como CVE-2025-14733, com uma pontuação CVSS de 9.3. Essa falha, classificada como um ‘out-of-bounds write’, afeta o processo iked e permite que atacantes remotos não autenticados executem código arbitrário. A vulnerabilidade impacta configurações de VPN para usuários móveis e filiais que utilizam IKEv2, especialmente quando configuradas com um gateway dinâmico. Mesmo após a exclusão dessas configurações, o dispositivo pode permanecer vulnerável se uma VPN de filial para um gateway estático estiver ativa. A WatchGuard observou tentativas de exploração em tempo real, com IPs específicos associados a esses ataques. A empresa recomenda que os administradores desativem as VPNs dinâmicas e apliquem as atualizações de segurança imediatamente. O incidente destaca a importância de monitorar e proteger sistemas críticos, especialmente em um cenário onde a exploração ativa está em andamento.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza sites de distribuição de software crackeado como vetor para uma versão modular e furtiva do loader conhecido como CountLoader. Essa campanha inicia-se quando usuários desavisados tentam baixar versões piratas de softwares legítimos, como o Microsoft Word, sendo redirecionados para links maliciosos que hospedam arquivos ZIP contendo um interpretador Python renomeado. O malware, uma vez instalado, estabelece persistência no sistema e pode baixar e executar outros malwares, como o ACR Stealer, que coleta dados sensíveis. CountLoader é projetado para contornar ferramentas de segurança, como o Falcon da CrowdStrike, e possui capacidades de propagação via dispositivos USB. Além disso, a Check Point revelou um loader JavaScript chamado GachiLoader, distribuído por meio de contas comprometidas do YouTube, que também implanta malwares adicionais. Essa evolução das técnicas de malware destaca a necessidade de estratégias de defesa em camadas e detecção proativa.

Modelos de placas-mãe de fabricantes como ASRock, ASUS, GIGABYTE e MSI estão expostos a uma vulnerabilidade de segurança que permite ataques de acesso direto à memória (DMA) durante a fase de inicialização do sistema. Essa falha, identificada por pesquisadores da Riot Games, está relacionada a uma discrepância na proteção DMA, onde o firmware indica que a proteção está ativa, mas não configura corretamente a Unidade de Gerenciamento de Memória de Entrada e Saída (IOMMU) no início do processo de boot. Isso possibilita que dispositivos PCIe maliciosos, com acesso físico ao sistema, leiam ou modifiquem a memória antes que as proteções do sistema operacional sejam ativadas. As vulnerabilidades identificadas incluem CVE-2025-14304, CVE-2025-11901, CVE-2025-14302 e CVE-2025-14303, todas com uma pontuação CVSS de 7.0, indicando um risco alto. É crucial que usuários e administradores apliquem as atualizações de firmware assim que disponíveis para mitigar essa ameaça, especialmente em ambientes onde o acesso físico não pode ser controlado. A falha destaca a importância de uma configuração correta do firmware, mesmo em sistemas que não são tipicamente utilizados em data centers.

Um novo malware, identificado como Cellik, está causando sérios problemas em dispositivos Android. Este trojan de acesso remoto (RAT) é capaz de clonar aplicativos legítimos da Play Store, permitindo que hackers obtenham controle total dos aparelhos das vítimas. O Cellik é comercializado em fóruns da dark web e oferece uma gama de ferramentas para comprometer sistemas, criando uma falsa sensação de legitimidade. Ao instalar o aplicativo comprometido, a vítima permite que o malware acesse a tela do dispositivo, registre teclas digitadas, intercepte notificações e navegue de forma oculta na internet. O Cellik também consegue acessar o sistema de arquivos do aparelho e utilizar cookies armazenados para roubar credenciais de login. O que torna esse malware particularmente perigoso é sua capacidade de se integrar à Play Store, burlando sistemas de segurança como o Google Play Protect, que não consegue detectar a presença do trojan. Essa situação levanta preocupações significativas sobre a segurança dos usuários e a eficácia das medidas de proteção atualmente disponíveis.

Os automóveis modernos, cada vez mais conectados por tecnologias como Wi-Fi e Bluetooth, estão se tornando alvos de hackers, especialmente aqueles que utilizam o chip Unisoc UIS7862A. Este chip, que integra um modem para conexões 3G, 4G e 5G, apresenta uma vulnerabilidade crítica no protocolo RLC 3G, identificada pela empresa Securelist. A falha está relacionada ao mecanismo de fragmentação de pacotes de dados, que não realiza uma checagem adequada de limites, permitindo que um pacote malicioso transborde o buffer e comprometa o sistema operacional do veículo. Uma vez dentro do sistema, os cibercriminosos podem assumir o controle total do carro, acessando dados do usuário e executando códigos maliciosos. Essa situação levanta preocupações significativas sobre a segurança dos veículos conectados, que se assemelham a dispositivos de Internet das Coisas (IoT) com rodas. A vulnerabilidade destaca a necessidade urgente de medidas de segurança mais robustas para proteger os sistemas automotivos contra invasões digitais.

A Parexel International anunciou que notificou pelo menos 6.620 pessoas sobre uma violação de dados ocorrida em agosto de 2025, que comprometeu informações pessoais sensíveis, incluindo números de contas financeiras, números de cartões de pagamento sem CVV, números de Seguro Social e números de identificação nacional. A empresa identificou uma vulnerabilidade zero-day no Oracle E-Business Suite como o vetor do ataque, que foi detectado em 4 de outubro de 2025. A vulnerabilidade, divulgada pela Oracle em 5 de outubro, já havia sido associada a várias outras violações de dados em meses recentes, afetando organizações de destaque como a Universidade de Harvard e o Washington Post. A Parexel está oferecendo 24 meses de proteção contra roubo de identidade para as vítimas, com prazo para inscrição até 17 de março de 2026. O grupo de ransomware Clop reivindicou a responsabilidade por muitos dos ataques relacionados a essa vulnerabilidade, que tem se mostrado uma ameaça crescente, especialmente em setores como saúde e manufatura, onde os ataques podem causar interrupções significativas nas operações.

Um novo grupo de ameaças cibernéticas, conhecido como LongNosedGoblin, foi identificado como responsável por uma série de ataques direcionados a entidades governamentais no Sudeste Asiático e no Japão. O objetivo principal dessas ações é a espionagem cibernética, conforme relatado pela empresa de cibersegurança ESET. As atividades do grupo foram detectadas desde setembro de 2023 e utilizam o mecanismo de Group Policy para implantar malware em redes comprometidas, além de serviços de nuvem como Microsoft OneDrive e Google Drive como servidores de comando e controle.

O SantaStealer é um novo malware do tipo ladrão de informações (infostealer) que está sendo comercializado em fóruns de hackers e no Telegram. Ele é uma versão rebranded do BluelineStealer e foi identificado por pesquisadores da Rapid7. O malware opera diretamente na memória do sistema, dificultando sua detecção. Com uma assinatura básica custando US$ 175 por mês, o SantaStealer oferece 14 módulos de coleta de dados, permitindo o roubo de informações de navegadores, senhas, cookies, histórico, contas de aplicativos como Telegram e Discord, além de documentos e dados de criptomoedas. Os dados são enviados para um servidor de comando e controle em pacotes de 10 MB. Embora tenha capacidades avançadas, o malware ainda não está totalmente operacional e não é amplamente distribuído. Os pesquisadores alertam sobre métodos de ataque como phishing e comandos colados no terminal do Windows, recomendando cautela ao abrir links e anexos suspeitos.

O time de análise de ameaças da Amazon identificou uma campanha de espionagem que durou de 2021 a 2025, orquestrada pelo Departamento Central de Inteligência da Rússia (GRU). Os ataques focaram em infraestruturas de nuvem e energia de países ocidentais, especialmente na América do Norte e Europa. A campanha explorou dispositivos mal configurados e interfaces de gerenciamento expostas, permitindo acesso a credenciais sensíveis através de vulnerabilidades de dia zero. Além de atacar provedores de VPN e ferramentas de acesso remoto, a ação também visou redes hospedadas na Amazon Web Services (AWS), que recentemente enfrentou um apagão que afetou diversos serviços. A Amazon notificou os clientes afetados e interrompeu as operações dos agentes maliciosos. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados e infraestruturas críticas.

Nos últimos anos, a integração de assistentes de inteligência artificial (IA) em aplicações SaaS, como Zoom, Slack e Microsoft 365, trouxe uma nova dinâmica ao gerenciamento de dados e segurança. Esses assistentes, que operam em alta velocidade e com privilégios elevados, criam caminhos de integração dinâmicos entre diferentes sistemas, o que desafia os modelos tradicionais de segurança que assumem interfaces fixas e papéis de usuário estáveis. A dificuldade em rastrear as ações desses agentes de IA, que muitas vezes se misturam aos logs de usuários normais, expõe vulnerabilidades significativas. Para mitigar esses riscos, as equipes de segurança precisam adotar uma abordagem de segurança dinâmica, que monitore e adapte as políticas em tempo real, garantindo visibilidade e auditabilidade das ações dos assistentes de IA. Essa nova camada de segurança deve ser capaz de detectar desvios de acesso e comportamentos anômalos, permitindo uma resposta proativa a incidentes. À medida que as organizações adotam copilotos de IA, é crucial que os líderes de segurança reavaliem suas estratégias para garantir que a inovação não comprometa a segurança dos dados.

Em 2025, grupos de hackers ligados à Coreia do Norte foram responsáveis por um aumento alarmante nos roubos de criptomoedas, totalizando pelo menos $2,02 bilhões de um total de $3,4 bilhões roubados globalmente. Esse valor representa um crescimento de 51% em relação ao ano anterior, com a Coreia do Norte respondendo por 76% de todas as violações de serviços. O ataque mais significativo ocorreu em fevereiro, quando a exchange de criptomoedas Bybit foi comprometida, resultando em um roubo de $1,5 bilhão. O grupo de hackers conhecido como Lazarus, vinculado ao governo norte-coreano, tem um histórico de ataques a exchanges e serviços de criptomoedas, visando gerar receita ilícita para o regime, em violação a sanções internacionais. Além disso, a infiltração de trabalhadores de TI em empresas globais tem sido uma estratégia crescente, permitindo acesso privilegiado a serviços de criptomoedas. Os fundos roubados são frequentemente lavados através de serviços de movimentação de dinheiro em chinês e misturadores, seguindo um caminho estruturado de lavagem em várias etapas. Este cenário representa um risco significativo para a segurança cibernética global e destaca a necessidade de vigilância e mitigação por parte das empresas de tecnologia e finanças.

O boletim semanal de ameaças cibernéticas destaca a evolução das táticas de ataque, com um foco em um esquema de fraude internacional desmantelado na Ucrânia, onde mais de 400 vítimas perderam mais de €10 milhões. As autoridades europeias, em colaboração com a Eurojust, prenderam 12 suspeitos envolvidos em call centers que enganavam vítimas, utilizando técnicas como a simulação de policiais para obter informações bancárias. Além disso, o governo do Reino Unido está pressionando a Apple e o Google a implementar sistemas de bloqueio de nudez em dispositivos móveis, visando proteger crianças. Outra ameaça emergente é o malware SantaStealer, que coleta dados sensíveis e opera de forma modular, dificultando a detecção. O artigo também menciona a resiliência de provedores de Bulletproof Hosting, que permitem que criminosos cibernéticos operem com agilidade. Por fim, novas técnicas de engenharia social, como o ataque GhostPairing, estão sendo utilizadas para sequestrar contas do WhatsApp, destacando a necessidade de vigilância constante. O cenário cibernético continua a se transformar rapidamente, exigindo atenção das organizações para mitigar riscos.

A Hewlett Packard Enterprise (HPE) anunciou a correção de uma vulnerabilidade crítica no seu software OneView, que pode permitir a execução remota de código por usuários não autenticados. Identificada como CVE-2025-37164, essa falha recebeu a pontuação máxima de 10.0 no CVSS, indicando seu alto potencial de risco. O problema afeta todas as versões anteriores à 11.00 do OneView, que é uma ferramenta de gerenciamento de infraestrutura de TI. A HPE disponibilizou um hotfix para as versões 5.20 a 10.20, mas é importante ressaltar que esse hotfix deve ser reaplicado após atualizações específicas. Embora a empresa não tenha relatado a exploração da vulnerabilidade em ambientes reais, recomenda-se que os usuários apliquem as correções o mais rápido possível para garantir a segurança de seus sistemas. Além disso, em junho, a HPE já havia lançado atualizações para corrigir outras oito vulnerabilidades em sua solução StoreOnce, que também poderiam resultar em execução remota de código. A situação destaca a importância da gestão de patches e da vigilância contínua em ambientes corporativos.

A Cisco alertou sobre uma vulnerabilidade zero-day de gravidade máxima no software Cisco AsyncOS, que está sendo ativamente explorada por um grupo de ameaças persistentes avançadas (APT) da China, conhecido como UAT-9686. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root em dispositivos afetados, comprometendo a segurança do sistema operacional subjacente. A vulnerabilidade afeta todas as versões do Cisco AsyncOS, mas a exploração só é possível se o recurso de Quarentena de Spam estiver habilitado e acessível pela internet. A Cisco recomenda que os usuários verifiquem a configuração de seus dispositivos e adotem medidas de segurança, como limitar o acesso à internet e monitorar o tráfego de logs. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais implementem mitigação até 24 de dezembro de 2025. Além disso, a GreyNoise relatou uma campanha coordenada de tentativas de login automatizadas em infraestruturas de autenticação de VPN, destacando a necessidade de vigilância contínua contra ataques cibernéticos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica, identificada como CVE-2025-59374, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.3, essa falha é classificada como uma ‘vulnerabilidade de código malicioso embutido’, resultante de uma violação na cadeia de suprimentos. A CISA alertou que versões específicas do cliente ASUS Live Update foram distribuídas com modificações não autorizadas, permitindo que atacantes realizassem ações indesejadas em dispositivos que atendiam a certas condições. Essa vulnerabilidade remete a um ataque à cadeia de suprimentos que ocorreu em 2019, quando um grupo de ameaças persistentes avançadas (APT) comprometeu servidores da ASUS, visando um grupo restrito de usuários. A ASUS já corrigiu a falha na versão 3.6.8 do software, mas a CISA recomendou que as agências federais descontinuem o uso do Live Update até 7 de janeiro de 2026, após o anúncio do fim do suporte ao software em 4 de dezembro de 2025. A empresa enfatizou seu compromisso com a segurança de software e a importância de atualizações em tempo real para proteger os dispositivos.

Luiz Fernando Souza, um jovem de 18 anos, foi preso em Agrolândia, Santa Catarina, após ser acusado de coagir meninas a se automutilarem por meio da plataforma Discord. Durante a investigação, a polícia encontrou materiais que incluíam imagens de jovens praticando automutilação e cenas de cunho sexual. Em um vídeo, Luiz revelou a idade de uma das vítimas, que teria apenas 12 ou 13 anos. A operação foi realizada após um mandado de prisão solicitado pela Justiça de São Paulo. Além das imagens de automutilação, a polícia também descobriu que as vítimas eram forçadas a marcar símbolos nazistas em seus corpos, incluindo os nomes de autoridades. Luiz foi detido em flagrante e teve um computador e um celular apreendidos para análise. O caso destaca o uso crescente de plataformas de comunicação online, como o Discord, para práticas criminosas, levantando preocupações sobre a segurança e a proteção de menores na internet.

A Richmond Behavioral Health Authority (RBHA), na Virgínia, notificou 113.232 pessoas sobre uma violação de dados ocorrida em setembro de 2025, conforme informações do Departamento de Saúde e Serviços Humanos dos EUA. A violação comprometeu nomes, números de Seguro Social, números de passaporte, informações financeiras e dados de saúde protegidos dos pacientes da RBHA. O grupo de ransomware Qilin reivindicou a responsabilidade pelo ataque, alegando ter roubado 192 GB de dados e postando imagens de documentos supostamente extraídos da RBHA em seu site de vazamento de dados. A RBHA não confirmou a veracidade da alegação do grupo, e detalhes sobre como a rede foi comprometida, se um resgate foi pago ou o valor exigido permanecem desconhecidos. O ataque é um dos maiores de 2025, afetando significativamente o setor de saúde, que já registrou 85 ataques de ransomware neste ano, comprometendo mais de 8,1 milhões de registros. A RBHA, uma organização sem fins lucrativos que atende cerca de 13.000 pessoas anualmente, não ofereceu monitoramento de crédito gratuito para as vítimas, o que levanta preocupações sobre a proteção contra roubo de identidade.

As equipes de segurança cibernética enfrentam um cenário desafiador, onde a quantidade de alertas e a velocidade das ameaças dificultam a identificação dos riscos mais relevantes. O artigo destaca a importância de uma postura proativa em vez de reativa, enfatizando que a defesa reativa resulta em investigações longas, desperdício de recursos e maior probabilidade de violações. A inteligência de ameaças (TI) é apresentada como uma solução para preencher as lacunas deixadas por operações reativas, fornecendo dados atualizados sobre as atividades dos atacantes. A ferramenta ANY.RUN’s Threat Intelligence Lookup permite que analistas enriqueçam alertas com informações contextuais, identifiquem campanhas de malware e ajustem suas defesas de forma mais eficaz. O artigo também ressalta a necessidade de entender o contexto específico de cada setor e região, já que as ameaças não estão distribuídas uniformemente. A visibilidade aprimorada e a capacidade de antecipar ataques são cruciais para que as equipes de segurança se mantenham à frente dos criminosos cibernéticos.

A botnet Kimwolf, identificada pela QiAnXin XLab, já infectou cerca de 1,8 milhão de dispositivos, incluindo TVs Android e set-top boxes. Entre 19 e 22 de novembro de 2025, a botnet emitiu 1,7 bilhão de comandos de ataque DDoS, destacando-se no ranking da Cloudflare. Os principais alvos são dispositivos de TV em redes residenciais, com infecções concentradas em países como Brasil, Índia e EUA. A botnet utiliza técnicas avançadas, como o uso de ENS (Ethereum Name Service) para dificultar sua desativação. A pesquisa sugere que Kimwolf pode estar associada à botnet AISURU, conhecida por ataques DDoS recordes. A malware é projetada para operar de forma discreta, garantindo que apenas uma instância do processo seja executada e utilizando criptografia TLS para comunicação. Com 13 métodos de ataque DDoS suportados, a botnet visa maximizar o uso da largura de banda dos dispositivos comprometidos, indicando um foco em monetização através de serviços de proxy. Este incidente destaca a crescente ameaça que botnets de grande escala representam para dispositivos IoT, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

A SonicWall anunciou a correção de uma vulnerabilidade crítica em seus dispositivos Secure Mobile Access (SMA) da série 100, identificada como CVE-2025-40602, com uma pontuação CVSS de 6.6. Essa falha permite a escalada de privilégios locais devido a uma autorização insuficiente no console de gerenciamento do aparelho. As versões afetadas incluem 12.4.3-03093 e anteriores, além de 12.5.0-02002 e anteriores, com correções disponíveis nas versões 12.4.3-03245 e 12.5.0-02283, respectivamente. A SonicWall alertou que essa vulnerabilidade está sendo explorada ativamente, especialmente em combinação com outra falha crítica, CVE-2025-23006, que permite a execução remota de código não autenticado com privilégios de root. Essa última falha foi corrigida em janeiro de 2025. A descoberta das vulnerabilidades foi creditada a pesquisadores do Google Threat Intelligence Group. Dada a gravidade da situação, é crucial que os usuários dos dispositivos SMA 100 apliquem as correções imediatamente para evitar possíveis comprometimentos.

Uma nova campanha de cibersegurança está ameaçando usuários do Microsoft Teams e do Google Meet no Brasil, com downloads falsos que disseminam malware. Especialistas da CyberProof identificaram que cibercriminosos estão utilizando técnicas de envenenamento de SEO para manipular resultados de busca, fazendo com que sites fraudulentos apareçam no topo. Ao acessar esses sites, os usuários acreditam estar baixando as plataformas legítimas, mas, na verdade, estão instalando o backdoor Oyster, um malware que cria uma porta de entrada oculta no sistema. Esse malware instala um arquivo malicioso chamado ‘AlphaSecurity.dll’, que é executado a cada 18 minutos, mesmo após reinicializações do sistema. A campanha é particularmente preocupante para o setor financeiro, onde o uso do Teams e Meet é elevado, aumentando o risco de sequestro de dados por grupos de ransomware. Especialistas recomendam que os usuários evitem clicar em anúncios de download e busquem sempre canais oficiais para evitar infecções.

A Seqrite Labs, empresa de cibersegurança, identificou uma nova campanha de phishing chamada Operação MoneyMount-ISO, que visa instituições financeiras e contábeis, principalmente na Rússia. Os atacantes enviam e-mails que aparentam ser confirmações de pagamento, mas contêm arquivos ISO disfarçados. Esses arquivos, ao serem abertos, instalam um malware conhecido como Phantom Stealer, que é capaz de roubar informações sensíveis, como dados de carteiras de criptomoeda, senhas, cookies e detalhes de cartões de crédito. O malware também monitora a área de transferência do usuário e as teclas pressionadas, além de evitar a execução em ambientes virtuais. Os dados coletados são enviados aos criminosos via Telegram ou Discord, e um servidor FTP é utilizado para transferir arquivos. Recentemente, outra campanha semelhante afetou setores de recursos humanos e pagamentos, utilizando um malware diferente chamado DUPERUNNER. A Intrinsec, uma empresa de cibersegurança, sugere que muitos desses ataques estão relacionados a hackativistas ucranianos visando o setor financeiro russo, em meio ao conflito entre os dois países.

Uma extensão do Google Chrome, chamada Urban VPN Proxy, que possui o selo ‘Em Destaque’ e é utilizada por mais de seis milhões de usuários, foi descoberta coletando de forma clandestina os prompts utilizados em chatbots de IA, como ChatGPT e outros. A empresa de segurança Koi Security identificou que, após uma atualização em julho de 2025, a extensão começou a interceptar conversas dos usuários. O código malicioso injetado na extensão modifica a API do navegador, redirecionando todas as requisições de rede para a extensão, permitindo a captura de dados que são enviados para servidores remotos da Urban Cyber Security Inc. Apesar de a política de privacidade afirmar que os dados são anonimizados, a coleta é realizada mesmo com a função de ‘Proteção de IA’ desativada. A extensão, que originalmente prometia proteger a identidade online, agora se revela uma ameaça à privacidade dos usuários, levantando preocupações sobre a confiança em ferramentas amplamente utilizadas. Este incidente destaca a vulnerabilidade das plataformas de extensões e a necessidade de maior vigilância sobre a coleta de dados pessoais, especialmente em um cenário onde as interações com IA estão se tornando cada vez mais comuns.

Especialistas em cibersegurança alertam que o grupo de hackers conhecido como ‘Ink Dragon’, patrocinado pelo Estado chinês, está ampliando suas operações em governos europeus. De acordo com um relatório da Check Point Software, os atacantes exploram servidores Microsoft IIS e SharePoint mal configurados para obter acesso inicial e estabelecer uma presença persistente. Ao invés de utilizar vulnerabilidades zero-day, que poderiam acionar alarmes de segurança, eles se aproveitam de fraquezas e configurações inadequadas. Uma vez dentro, o grupo instala backdoors, como o FinalDraft, que foi recentemente atualizado para misturar seu tráfego de comando e controle (C2) com atividades normais da nuvem da Microsoft, dificultando a detecção. O malware opera principalmente durante o horário comercial, quando o tráfego é mais intenso, tornando mais difícil identificar atividades suspeitas. O relatório indica que dezenas de entidades, incluindo governos e empresas de telecomunicações na Europa, Ásia e África, foram afetadas, com a operação de relé se expandindo gradualmente desde a segunda metade de 2025. A situação representa um risco significativo para a segurança cibernética, especialmente para organizações que utilizam as tecnologias mencionadas.

Desde julho de 2025, o grupo de cibercriminosos conhecido como Jewelbug tem direcionado suas atividades principalmente a alvos governamentais na Europa, enquanto ainda mantém ataques em regiões da Ásia e América do Sul. A Check Point Research, que monitora essa ameaça sob o nome Ink Dragon, descreve a atuação do grupo como altamente eficaz e discreta, utilizando engenharia de software avançada e ferramentas nativas de plataformas para se camuflar no tráfego normal das empresas. Entre suas táticas, destacam-se o uso de backdoors como FINALDRAFT e NANOREMOTE, que permitem controle remoto e exfiltração de dados. O grupo também explorou vulnerabilidades em serviços da ASP.NET e SharePoint para comprometer servidores e estabelecer uma infraestrutura de comando e controle (C2). As intrusões têm resultado em acesso a informações sensíveis, incluindo credenciais administrativas e dados de registro. A Check Point alerta que a arquitetura de relé do Ink Dragon permite que um único comprometimento se torne um nó em uma rede de ataques mais ampla, exigindo que as defesas considerem a possibilidade de uma rede de cibercriminosos interconectada.

A Kaspersky revelou uma nova onda de ataques de phishing, atribuídos ao ator de ameaças ligado à Operação ForumTroll, que tem como alvo acadêmicos na Rússia, especialmente nas áreas de ciência política, relações internacionais e economia global. Detectados em outubro de 2025, esses ataques utilizam uma vulnerabilidade zero-day no Google Chrome (CVE-2025-2783) para implantar o backdoor LeetAgent e um spyware chamado Dante. Os e-mails fraudulentos se disfarçam como comunicações da eLibrary, uma biblioteca científica russa, e são enviados de um domínio registrado seis meses antes do início da campanha, indicando um planejamento cuidadoso. Os alvos são instruídos a clicar em links maliciosos para baixar um relatório de plágio, resultando no download de um arquivo ZIP que contém um atalho do Windows. Ao ser executado, esse atalho ativa um script PowerShell que baixa um payload malicioso, permitindo acesso remoto ao dispositivo da vítima. A Kaspersky alerta que a Operação ForumTroll tem um histórico de ataques a organizações e indivíduos na Rússia e Belarus desde 2022, sugerindo que a ameaça continuará a se expandir.

Um novo relatório da JumpCloud e Google Workspace revela que apenas 6% dos líderes de TI estão satisfeitos com suas configurações tecnológicas atuais, destacando preocupações com custos, segurança e complexidade. A pesquisa indica que 87% dos líderes estão abertos a mudar suas suítes de produtividade em busca de plataformas mais unificadas e seguras. Os principais desafios enfrentados incluem tarefas administrativas elevadas, configurações de segurança complexas e preços complicados. A pesquisa critica a plataforma Microsoft 365, apontando a alta sobrecarga administrativa e a complexidade de configuração de segurança como principais pontos de dor. A utilização de inteligência artificial (IA) e uma postura de segurança de confiança zero são sugeridas como soluções para simplificar a gestão de dispositivos e usuários, além de prevenir ataques. O relatório enfatiza a necessidade de uma abordagem unificada para a gestão de identidade e segurança, em vez de depender de uma coleção desorganizada de ferramentas separadas.

Uma nova campanha chamada GhostPoster explorou arquivos de logotipo associados a 17 extensões do navegador Mozilla Firefox para embutir código JavaScript malicioso. Esse código é projetado para sequestrar links de afiliados, injetar códigos de rastreamento e cometer fraudes de cliques e anúncios. As extensões, que foram baixadas mais de 50.000 vezes, foram retiradas do ar após a descoberta pela Koi Security. Entre elas, estavam programas que prometiam funcionalidades como VPNs e bloqueadores de anúncios. O ataque se inicia quando o arquivo de logotipo é carregado, permitindo que o código malicioso busque um servidor externo para obter um payload principal. O malware é capaz de realizar diversas atividades fraudulentas, como desviar comissões de afiliados e injetar códigos de rastreamento em páginas visitadas. Além disso, técnicas de evasão foram implementadas para dificultar a detecção, como a ativação do malware apenas após seis dias da instalação. A campanha destaca a vulnerabilidade de extensões de navegador, que podem ser utilizadas para atividades maliciosas, colocando em risco a privacidade e a segurança dos usuários.

Um novo ataque cibernético tem se espalhado por meio de um torrent fraudulento que promete conter o filme “One Battle After Another”, estrelado por Leonardo DiCaprio. Ao clicar em um atalho disfarçado como lançador do filme, os usuários inadvertidamente executam um script PowerShell malicioso que se oculta em arquivos de legenda. Esse script extrai e executa outros scripts maliciosos, resultando na instalação do AgentTesla, um trojan de acesso remoto que rouba credenciais de navegadores, clientes de e-mail e ferramentas de FTP. A campanha, observada por pesquisadores, destaca a vulnerabilidade dos usuários que, atraídos pela curiosidade por novos lançamentos, ignoram os riscos de segurança. O ataque não depende de falhas de software, mas sim da execução do usuário, o que permite contornar defesas básicas de antivírus. A disseminação de torrents por publicadores anônimos continua a ser um método comum para a entrega de malware, reforçando a necessidade de cautela ao baixar conteúdos não verificados.

O grupo de hackers ShinyHunters está ameaçando o Pornhub com a divulgação de dados sensíveis de usuários Premium, incluindo histórico de pesquisas e visualizações. A coleta dessas informações teria ocorrido devido a uma falha de segurança na Mixpanel, uma empresa de análise de dados que presta serviços ao Pornhub. Os criminosos afirmam ter roubado cerca de 94 GB de dados, totalizando mais de 200 milhões de registros. Embora o Pornhub tenha tentado acalmar seus usuários, afirmando que dados financeiros e senhas não foram comprometidos, a situação levanta preocupações sobre a privacidade dos clientes. A Mixpanel, por sua vez, nega que os dados tenham sido obtidos em um incidente recente, alegando que a origem do vazamento remonta a uma violação de 2023. A contradição entre as declarações do Pornhub e da Mixpanel gera incertezas sobre a segurança dos dados dos usuários e a responsabilidade pela violação.

O Anchorage Neighborhood Health Center (ANHC) notificou 70.555 pessoas sobre uma violação de dados ocorrida em agosto de 2025, conforme informações do procurador-geral do Oregon. A violação comprometeu dados sensíveis, incluindo nomes, números de Seguro Social, datas de nascimento, números de identificação emitidos pelo estado, informações sobre tratamentos médicos e dados de seguros de saúde. No dia 26 de agosto, o ANHC anunciou dificuldades técnicas que impediram o agendamento de consultas e chamadas telefônicas, com interrupções que duraram mais de uma semana. Um grupo de hackers anônimo reivindicou a responsabilidade pelo ataque, alegando ter roubado 23 TB de dados, inicialmente afirmando ter acessado 10.000 registros de pacientes, número que foi posteriormente elevado para 60.000. O ANHC não confirmou a reivindicação dos hackers e não se sabe como a rede foi comprometida, se um resgate foi pago ou qual foi o valor exigido. Em resposta ao incidente, o ANHC tomou medidas imediatas para revisar a segurança da rede e lançou uma investigação com especialistas em cibersegurança. Embora tenha sido determinado que informações não públicas foram acessadas, não há evidências de que dados pessoais tenham sido usados para fraudes. O centro está oferecendo 12 meses de monitoramento de crédito gratuito aos indivíduos afetados.

Pesquisadores de cibersegurança descobriram um novo pacote NuGet malicioso que utiliza typosquatting para se passar pela popular biblioteca de rastreamento .NET, introduzindo um ladrão de carteiras de criptomoedas. Nomeado ‘Tracer.Fody.NLog’, o pacote foi publicado em 26 de fevereiro de 2020 e permaneceu no repositório por quase seis anos, sendo baixado mais de 2.000 vezes. O pacote se disfarça como ‘Tracer.Fody’, que é mantido por um autor legítimo, mas contém um código que escaneia diretórios de carteiras Stratis no Windows, extrai dados de carteiras e senhas, enviando essas informações para um servidor controlado por criminosos na Rússia. O ataque utiliza táticas sofisticadas para evitar detecções, como a imitação do nome do mantenedor legítimo e a ocultação de funções maliciosas em códigos comuns. O mesmo endereço IP já havia sido utilizado em um ataque anterior, demonstrando um padrão de comportamento de ameaças que pode se repetir em outras bibliotecas populares. A descoberta ressalta a importância da segurança na cadeia de suprimentos de software, especialmente em ambientes de código aberto.

Uma nova campanha de cibersegurança está atacando clientes da Amazon Web Services (AWS) utilizando credenciais comprometidas de Gerenciamento de Identidade e Acesso (IAM) para realizar mineração de criptomoedas. Detectada pela primeira vez em 2 de novembro de 2025 pelo serviço de detecção de ameaças GuardDuty da Amazon, a atividade emprega técnicas de persistência inovadoras para dificultar a resposta a incidentes. Os atacantes, operando de um provedor de hospedagem externo, rapidamente enumeraram recursos e permissões antes de implantar recursos de mineração em ECS e EC2. Em menos de 10 minutos após o acesso inicial, os mineradores estavam operacionais.

Um estudo da BioCatch revelou um aumento alarmante de 220% nas fraudes bancárias digitais no Brasil no primeiro semestre de 2025, em comparação ao segundo semestre de 2024. O crescimento dessas fraudes está associado ao aumento de ataques de malware, que visam roubar dados bancários, especialmente durante transações via Pix. Além disso, os golpes de ‘falsa central’, que utilizam chamadas telefônicas para enganar as vítimas, dobraram neste ano. Os criminosos frequentemente se passam por atendentes de instituições financeiras, solicitando informações sensíveis como senhas e códigos de segurança. Para se proteger, é essencial desconfiar de mensagens e ligações suspeitas, evitar clicar em links desconhecidos e nunca fornecer dados pessoais por telefone ou e-mail. O uso de autenticação multifator e ferramentas de segurança, como antivírus, também é recomendado. A vigilância constante é crucial, uma vez que os golpes estão se tornando cada vez mais sofisticados, especialmente com a popularização da inteligência artificial.

Recentemente, foram identificadas duas falhas de segurança críticas em dispositivos Fortinet FortiGate, que estão sendo ativamente exploradas por agentes maliciosos. As vulnerabilidades, identificadas como CVE-2025-59718 e CVE-2025-59719, possuem uma pontuação CVSS de 9.8, indicando seu alto nível de gravidade. A empresa de cibersegurança Arctic Wolf relatou que, desde 12 de dezembro de 2025, logins maliciosos utilizando autenticação de login único (SSO) têm sido realizados em dispositivos FortiGate, aproveitando-se dessas falhas. As vulnerabilidades permitem que atacantes contornem a autenticação SSO através de mensagens SAML manipuladas, especialmente se o recurso FortiCloud SSO estiver ativado. Embora essa funcionalidade esteja desativada por padrão, ela é ativada automaticamente durante o registro no FortiCare, a menos que os administradores a desativem manualmente. Os atacantes têm utilizado endereços IP de provedores de hospedagem específicos para realizar logins na conta ‘admin’ e exportar configurações de dispositivos. Diante da exploração ativa, é crucial que as organizações apliquem os patches disponibilizados pela Fortinet e desativem o FortiCloud SSO até que as atualizações sejam implementadas.

O crescimento acelerado no desenvolvimento de software assistido por IA traz desafios significativos para as equipes de segurança e privacidade. Com o aumento do número de aplicações e a velocidade das mudanças, as soluções tradicionais de segurança de dados se mostram reativas e ineficazes. Problemas como a exposição de dados sensíveis em logs e a falta de mapeamento preciso de dados aumentam os riscos de privacidade. O HoundDog.ai surge como uma solução proativa, oferecendo um scanner de código focado em privacidade que identifica riscos e vazamentos de dados antes que o código seja implementado. Essa ferramenta analisa rapidamente milhões de linhas de código, permitindo que as equipes detectem e previnam problemas de segurança desde as fases iniciais do desenvolvimento. Além disso, a integração com plataformas como Replit amplia a visibilidade sobre os riscos de privacidade em aplicações geradas por IA. A necessidade de controles de governança e detecção embutidos no processo de desenvolvimento é mais urgente do que nunca, especialmente em um cenário onde a conformidade com legislações como a LGPD é crítica.

A equipe de inteligência de ameaças da Amazon revelou detalhes sobre uma campanha de ciberataques patrocinada pelo Estado russo, que visou a infraestrutura crítica ocidental entre 2021 e 2025. Os alvos incluíram organizações do setor de energia e provedores de infraestrutura crítica na América do Norte e Europa, além de entidades com infraestrutura de rede hospedada em nuvem. A atividade foi atribuída com alta confiança ao Diretório Principal de Inteligência da Rússia (GRU), destacando a exploração de dispositivos de rede mal configurados como vetor inicial de acesso.

O Google anunciou que irá descontinuar sua ferramenta de relatório da dark web em fevereiro de 2026, menos de dois anos após seu lançamento. A decisão foi motivada pelo feedback dos usuários, que indicou que a ferramenta não oferecia passos práticos suficientes para a proteção das informações pessoais. A partir de 15 de janeiro de 2026, as varreduras para novas violações na dark web serão interrompidas, e todos os dados relacionados à ferramenta serão excluídos após sua desativação. A ferramenta, lançada em março de 2023, tinha como objetivo ajudar os usuários a monitorar se suas informações pessoais, como nome, endereço e número de segurança social, estavam disponíveis na dark web. Em julho de 2024, o Google expandiu o acesso à ferramenta para todos os titulares de contas, não apenas para assinantes do Google One. A empresa também incentivou os usuários a fortalecerem a segurança de suas contas, sugerindo a criação de chaves de acesso para autenticação multifatorial resistente a phishing e a remoção de informações pessoais dos resultados de busca do Google. Essa mudança reflete uma tendência maior de priorizar ferramentas que ofereçam ações mais claras para a proteção de dados online.

A vulnerabilidade conhecida como React2Shell está sendo explorada por grupos de ameaças para implantar malwares como KSwapDoor e ZnDoor, conforme relatórios da Palo Alto Networks e NTT Security. O KSwapDoor é uma ferramenta de acesso remoto projetada para operar de forma furtiva, utilizando criptografia de nível militar e um modo ‘sleeper’ que permite contornar firewalls. Por outro lado, o ZnDoor, que já está ativo desde dezembro de 2023, é um trojan de acesso remoto que executa comandos em sistemas comprometidos. As campanhas de ataque têm como alvo organizações no Japão e utilizam comandos bash para baixar e executar cargas maliciosas. A vulnerabilidade, classificada como CVE-2025-55182, possui uma pontuação CVSS de 10.0, indicando um risco crítico. Diversos grupos de ameaças, incluindo aqueles com vínculos com a China, têm explorado essa falha para executar comandos arbitrários e implantar ferramentas de monitoramento remoto. Além disso, a Shadowserver Foundation identificou mais de 111.000 endereços IP vulneráveis a ataques relacionados ao React2Shell, com a maioria localizada nos Estados Unidos. Este cenário representa um risco significativo para a segurança cibernética, exigindo atenção imediata das organizações.

Uma extensão do Google Chrome chamada Urban VPN Proxy, que possui seis milhões de usuários e é marcada como ‘Destaque’ na loja, foi descoberta coletando silenciosamente dados de usuários que interagem com chatbots de inteligência artificial, como ChatGPT e Microsoft Copilot. Apesar de se apresentar como uma ferramenta de VPN para proteger a identidade online, a versão 5.5.0 da extensão, lançada em julho de 2025, habilitou a coleta de dados de forma padrão. A coleta é realizada por meio de scripts JavaScript que interceptam as conversas dos usuários, capturando prompts, respostas dos chatbots e metadados de sessão, enviando essas informações para servidores remotos. A política de privacidade da Urban VPN menciona que os dados são coletados para melhorar a navegação segura e para fins de marketing, mas não garante a anonimização completa das informações. Além disso, a empresa BIScience, que possui a Urban Cyber Security Inc., é acusada de coletar dados de navegação sob políticas de privacidade enganosas. A situação levanta preocupações sobre a confiança em extensões de navegador e a proteção de dados pessoais, especialmente em um contexto onde os usuários compartilham informações sensíveis com chatbots.

Uma pesquisa da ReversingLabs revelou uma campanha de ciberataques direcionada a desenvolvedores que utilizam o Marketplace do Visual Studio Code (VS Code). Desde fevereiro de 2025, 19 extensões maliciosas foram identificadas, ocultando um trojan. O vetor de ataque foi descoberto em 2 de dezembro e envolve a manipulação de uma dependência popular chamada ‘path-is-absolute’, que possui mais de 9 bilhões de downloads. As extensões falsas, como uma versão adulterada do Prettier, foram projetadas para parecerem legítimas, mas continham código malicioso que se ativava ao abrir o VS Code. O malware se disfarça como uma imagem PNG, mas na verdade, é um arquivo que gera um erro ao ser aberto, revelando binários maliciosos. O trojan resultante, ainda em análise, utiliza a ferramenta nativa do Windows, cmstp.exe, para executar suas funções. Os usuários são aconselhados a inspecionar suas extensões, especialmente aquelas com poucos downloads ou avaliações, para evitar infecções.

Especialistas da Bitdefender alertaram sobre um arquivo torrent do filme ‘Uma Batalha Após a Outra’, estrelado por Leonardo DiCaprio, que está sendo utilizado como isca por hackers para disseminar um malware conhecido como Agent Tesla. Este software malicioso, que atua como um trojan de acesso remoto, compromete o sistema operacional Windows ao explorar programas legítimos para contornar medidas de segurança.

O ataque ocorre quando o usuário tenta abrir o arquivo torrent, que na verdade contém uma série de comandos maliciosos ocultos nas legendas do filme. Ao clicar no atalho ‘CD.lnk’, scripts do PowerShell são executados, permitindo que o malware se instale e ganhe controle sobre o dispositivo. O Agent Tesla é projetado para roubar informações pessoais e dados bancários, além de transformar o computador da vítima em um ‘agente zumbi’ para futuros ataques. Desde 2014, milhares de downloads comprometidos foram identificados, expondo muitos usuários a esse risco.

O grupo de hacktivistas pró-Rússia, conhecido como CyberVolk, lançou um ransomware chamado VolkLocker, que opera exclusivamente pelo Telegram. Este modelo de ransomware como serviço (RaaS) foi projetado para facilitar a venda de códigos maliciosos, permitindo que até mesmo usuários sem conhecimentos técnicos possam utilizá-lo. No entanto, uma falha crítica foi descoberta: as chaves mestras de criptografia estão incluídas nos arquivos executáveis, permitindo que as vítimas recuperem seus dados sem pagar o resgate. O especialista Jim Walter, da SentinelOne, destacou que essa contradição revela dificuldades na operação do grupo, que, apesar de sua automação sofisticada, cometeu um erro ao deixar as chaves acessíveis. O ransomware utiliza escalonamento de privilégios para obter controle total das máquinas infectadas, mas a falta de geração dinâmica das chaves pode ser uma vantagem para as vítimas. Apesar dessa falha, o CyberVolk continua a ser uma ameaça significativa, com recursos adicionais como keyloggers e trojans de acesso remoto. A situação exige atenção, pois o ransomware pode impactar usuários desavisados e organizações em geral.

O artigo de Michal Bürger, CEO da eM Client, destaca que a maioria das falhas de segurança em nuvem (99%) resulta de configurações inadequadas por parte dos usuários, e não de vulnerabilidades nos provedores. Embora o e-mail seja uma ferramenta central de comunicação nas organizações, ele frequentemente é responsabilizado por vazamentos de dados, mesmo quando não é o culpado. A falta de compreensão sobre as verdadeiras origens das brechas de segurança leva as equipes de TI a implementarem controles inadequados, que não resolvem as vulnerabilidades reais. O texto enfatiza a importância de focar na segurança do endpoint, na criptografia de dados e na educação dos usuários para mitigar riscos. A combinação de dispositivos seguros, comunicação criptografada e usuários informados pode transformar o cliente de e-mail em um ativo, em vez de um passivo na segurança organizacional. A abordagem sugerida visa alinhar as estratégias de segurança com os padrões reais de ataque, promovendo um ambiente de trabalho produtivo e seguro.

A Rockrose Development notificou 47.392 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações fiscais, números de carteira de motorista, passaportes, informações financeiras e dados médicos. O grupo de ransomware Play reivindicou a responsabilidade pelo ataque, alegando ter roubado documentos relacionados a clientes, contabilidade e informações financeiras. A Rockrose não confirmou se pagou um resgate ou como a violação ocorreu. A empresa está oferecendo 24 meses de proteção de identidade gratuita aos afetados. O ataque é parte de uma tendência crescente de ataques de ransomware em empresas de construção e desenvolvimento imobiliário nos EUA, com 12 ataques confirmados em 2025, comprometendo mais de 69 mil registros. O ataque à Rockrose é o maior registrado desde 2018, destacando a vulnerabilidade do setor a esse tipo de crime cibernético.

Em dezembro de 2025, pesquisadores de segurança revelaram uma campanha de cibercrime que comprometeu extensões populares dos navegadores Chrome e Edge. O grupo de ameaças conhecido como ShadyPanda passou sete anos publicando ou adquirindo extensões inofensivas, acumulando milhões de instalações antes de transformá-las em malware por meio de atualizações silenciosas. Aproximadamente 4,3 milhões de usuários foram afetados, com as extensões se tornando um framework de execução remota de código (RCE) que permitia o roubo de dados, como cookies de sessão e tokens de autenticação. Essa tática representa um ataque à cadeia de suprimentos de extensões de navegador, onde a confiança do usuário foi explorada. Para as equipes de segurança de SaaS, o incidente destaca a necessidade de uma abordagem integrada entre segurança de endpoints e identidade, já que as extensões podem comprometer contas corporativas sem disparar alarmes de segurança tradicionais. Medidas recomendadas incluem a implementação de listas de permissões de extensões, auditorias regulares e monitoramento de comportamentos suspeitos para mitigar riscos futuros.

Recentemente, hackers têm explorado falhas críticas em softwares amplamente utilizados, colocando em risco usuários de smartphones, navegadores web e aplicativos de desktop. A Apple e o Google lançaram atualizações de segurança para corrigir duas vulnerabilidades zero-day, CVE-2025-14174 e CVE-2025-43529, que permitem a execução de código arbitrário através de conteúdo web malicioso. Além disso, uma nova vulnerabilidade chamada SOAPwn foi descoberta em aplicações .NET, permitindo a execução remota de código devido a um comportamento inesperado dos proxies HTTP. Outra falha significativa foi identificada no WinRAR, com um CVSS de 7.8, que está sendo explorada por múltiplos grupos de ameaças. O CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais a corrigissem até 30 de dezembro de 2025. A situação é crítica, pois a exploração dessas falhas pode resultar em sérios danos, incluindo vazamento de dados e comprometimento de sistemas. Os usuários e administradores de sistemas devem aplicar as atualizações de segurança imediatamente para mitigar esses riscos.

Recentemente, foram divulgadas múltiplas vulnerabilidades de segurança na plataforma de troca de ramais privada de código aberto FreePBX, incluindo uma falha crítica que pode permitir a bypass de autenticação em configurações específicas. As vulnerabilidades, descobertas pela Horizon3.ai e reportadas em setembro de 2025, incluem: CVE-2025-61675 e CVE-2025-61678, ambas com pontuação CVSS de 8.6, que permitem injeções SQL autenticadas e upload de arquivos arbitrários, respectivamente. A CVE-2025-66039, com pontuação CVSS de 9.3, permite que atacantes contornem a autenticação ao configurar o ‘Authorization Type’ como ‘webserver’, possibilitando o acesso ao Painel de Controle do Administrador. Embora a configuração padrão do FreePBX não seja vulnerável, a ativação inadvertida dessa opção pode expor sistemas a ataques. As falhas foram corrigidas nas versões 16.0.92 e 17.0.6, lançadas em outubro de 2025, e 16.0.44 e 17.0.23, em dezembro de 2025. A recomendação é que os usuários evitem o uso do tipo de autenticação ‘webserver’ e realizem uma análise completa do sistema caso essa configuração tenha sido ativada.

Pesquisadores de cibersegurança revelaram uma campanha de phishing ativa, denominada Operação MoneyMount-ISO, que está atacando diversos setores na Rússia, especialmente entidades financeiras e contábeis. Os e-mails de phishing se disfarçam como comunicações financeiras legítimas, solicitando a confirmação de transferências bancárias. Os anexos contêm arquivos ZIP que, ao serem abertos, revelam uma imagem ISO maliciosa, que, quando montada, executa o malware Phantom Stealer. Este malware é projetado para roubar dados de carteiras de criptomoedas, senhas de navegadores e tokens de autenticação do Discord, além de monitorar o conteúdo da área de transferência e registrar teclas digitadas. A exfiltração de dados é realizada através de um bot do Telegram ou um webhook do Discord controlado pelo atacante.