Cibersegurança

A inteligência artificial (IA) está rapidamente se integrando às operações de segurança, mas muitas equipes ainda enfrentam dificuldades para transformar experimentos iniciais em valor operacional consistente. De acordo com a pesquisa SANS SOC de 2025, 40% dos Centros de Operações de Segurança (SOCs) utilizam ferramentas de IA ou aprendizado de máquina (ML) sem integrá-las formalmente às suas operações. Isso resulta em um uso informal e muitas vezes pouco confiável da IA, sem um modelo claro de como validar seus resultados. A IA pode melhorar a capacidade e a satisfação das equipes, mas deve ser aplicada a problemas bem definidos e acompanhada de processos de revisão rigorosos. O artigo destaca cinco áreas onde a IA pode oferecer suporte confiável: engenharia de detecção, caça a ameaças, desenvolvimento e análise de software, automação e orquestração. A aplicação eficaz da IA requer que as equipes definam claramente os problemas e validem as saídas, evitando a dependência excessiva da automação. A abordagem deve ser de refinamento de processos existentes, em vez de criar novas categorias de trabalho.

O grupo de cibercrime conhecido como Silver Fox, originário da China, está direcionando suas campanhas de phishing para a Índia, utilizando iscas relacionadas a impostos de renda para disseminar um trojan modular de acesso remoto chamado ValleyRAT. A análise da CloudSEK revela que esses ataques sofisticados empregam uma cadeia de ataque complexa, incluindo o sequestro de DLLs e a persistência do malware. Os e-mails de phishing contêm PDFs falsos que, ao serem abertos, redirecionam os usuários para um domínio malicioso onde um arquivo ZIP é baixado. Este arquivo contém um instalador que, por sua vez, utiliza um executável legítimo para instalar o ValleyRAT, que se comunica com um servidor externo e pode realizar atividades como registro de teclas e coleta de credenciais. A campanha também se beneficia de técnicas de SEO para distribuir instaladores de backdoor de aplicativos populares, visando principalmente indivíduos e organizações de língua chinesa. A NCC Group identificou um painel de gerenciamento exposto que rastreia a atividade de downloads relacionados a esses instaladores maliciosos, revelando que a maioria dos cliques nos links de download se originou da China, seguida por outros países. Essa situação destaca a necessidade de vigilância e medidas de segurança robustas para mitigar os riscos associados a esses ataques.

O grupo de hackers conhecido como Mustang Panda, vinculado à China, utilizou um driver de rootkit em modo kernel não documentado para implantar uma nova variante de backdoor chamada TONESHELL. Essa atividade foi detectada em meados de 2025, com foco em entidades governamentais na Ásia, especialmente em Myanmar e Tailândia. O driver malicioso, assinado com um certificado digital roubado, atua como um minifiltro, injetando o trojan TONESHELL nos processos do sistema e protegendo arquivos maliciosos e chaves de registro. O TONESHELL possui capacidades de shell reverso e downloader, permitindo que os atacantes baixem malware adicional em máquinas comprometidas. A infraestrutura de comando e controle (C2) foi estabelecida em setembro de 2024, e o ataque pode ter explorado máquinas previamente comprometidas. A detecção do shellcode injetado é crucial para identificar a presença do backdoor. A Kaspersky destacou que a evolução das operações do Mustang Panda mostra um uso crescente de injetores em modo kernel, aumentando a furtividade e a resiliência das suas atividades maliciosas.

No dia 27 de dezembro de 2025, a Ubisoft enfrentou um grave incidente de segurança em seu jogo Rainbow Six Siege, onde hackers conseguiram injetar bilhões de créditos e skins raras, incluindo itens exclusivos de desenvolvedores, nas contas de diversos jogadores. Em resposta, a empresa decidiu desligar os servidores do jogo. Embora a Ubisoft não tenha fornecido detalhes sobre a natureza do ataque, afirmou que as mensagens recebidas pelos jogadores não eram oficiais. Especialistas em cibersegurança, como o usuário Vx Underground, destacaram a fragilidade do suporte ao cliente da Ubisoft, que tem sido alvo de subornos e engenharia social, permitindo o acesso não autorizado a contas de jogadores. Após o incidente, a Ubisoft baniu alguns jogadores, mas aqueles que receberam créditos sem envolvimento na invasão não sofrerão penalidades. O inventário dos jogadores foi revertido ao estado anterior ao ataque, e os servidores foram reabertos em 29 de dezembro, embora o marketplace permaneça fechado para investigações. O ataque expôs dados sensíveis de jogadores, como nome completo e endereço de IP, e levantou preocupações sobre a segurança do suporte ao cliente em regiões como África do Sul, Egito e Índia, onde funcionários são mais vulneráveis a subornos.

Um novo golpe de cibersegurança está em andamento, onde hackers estão utilizando um domínio falso do Microsoft Activation Scripts (MAS) para disseminar malware, especificamente o Cosmali Loader. Esse malware é ativado quando usuários digitam incorretamente o comando ‘get.activated.win’ no PowerShell, substituindo por ‘get.activate[.]win’, um domínio malicioso. Os usuários afetados relataram receber pop-ups informando sobre a infecção, que pode incluir um trojan de acesso remoto e funcionalidades de mineração de criptomoedas. Especialistas em cibersegurança alertam que a utilização de scripts de ativação não oficiais do Windows pode ser arriscada e recomendam cautela ao inserir comandos desconhecidos. A situação destaca a importância de verificar a autenticidade de ferramentas de ativação e a necessidade de educação contínua sobre segurança digital para evitar tais armadilhas.

A Condé Nast, editora de revistas renomadas como Vogue e Wired, enfrenta uma grave ameaça de cibersegurança. Um hacker, identificado como ‘Lovely’, anunciou que pretende vazar mais de 40 milhões de dados da empresa, após a exposição de 2,3 milhões de credenciais da revista Wired durante um ataque ocorrido no Natal. O hacker alega que a Condé Nast ignorou alertas sobre falhas de segurança, o que motivou sua ação. Os dados já vazados incluem e-mails, nomes de usuários, endereços residenciais, números de telefone e informações pessoais de assinantes. Especialistas em segurança alertam que um vazamento em larga escala pode comprometer a privacidade de muitos usuários e abrir espaço para fraudes financeiras, especialmente considerando a reputação das marcas envolvidas. A Condé Nast ainda não se manifestou oficialmente sobre o incidente, mas a situação é crítica, dado o potencial impacto na segurança dos dados de seus assinantes.

Recentemente, um hacker conhecido como ‘Lovely’ invadiu os sistemas da Condé Nast, resultando no vazamento de dados sensíveis de mais de 2,3 milhões de leitores da WIRED. As informações comprometidas incluem e-mails, nomes, números de telefone, endereços e detalhes de contas. O hacker, que alegou não ter intenções maliciosas, tentou alertar a empresa sobre vulnerabilidades em seus sistemas, mas sem sucesso. Após um mês sem resposta, decidiu divulgar os dados em fóruns de hackers, onde outros usuários podem acessá-los mediante pagamento. Lovely também afirmou ter acesso a dados de outras publicações da Condé Nast, como Vogue e Vanity Fair. Especialistas em segurança alertam que os dados vazados podem ser utilizados em ataques de phishing, e recomendam que os usuários fiquem atentos a e-mails suspeitos, especialmente aqueles que se passam pela Condé Nast ou suas marcas. A situação destaca a importância da segurança de dados e a necessidade de vigilância constante por parte dos usuários.

O grupo de ransomware Meduza Locker reivindicou um ataque cibernético à Kelsey School Division, em Manitoba, Canadá, ocorrido em novembro de 2025. Em um comunicado, o superintendente da divisão escolar, Trevor Lane, informou que uma violação não autorizada afetou a rede de TI da instituição, interrompendo sistemas escolares. Meduza Locker listou a Kelsey School Division em seu site de vazamento de dados, alegando ter roubado documentos de alunos, pais e funcionários, e exigiu um resgate de $40.000 pela recuperação dos dados. Embora a Kelsey School Division tenha iniciado uma investigação sobre a extensão da violação, não confirmou a autenticidade das alegações do grupo. O ataque destaca a crescente preocupação com a segurança cibernética em instituições educacionais, que têm sido alvos frequentes de ransomware, com 89 ataques confirmados em escolas, faculdades e universidades em 2025 até o momento. O impacto desses ataques pode ser severo, afetando operações diárias e expondo dados sensíveis a riscos de fraude.

Criminosos digitais estão utilizando o Telegram como plataforma para disseminar aplicativos clonados que roubam dados de usuários de dispositivos Android. Especialistas do Group-IB identificaram uma campanha de phishing que se aproveita da confiança em aplicativos legítimos, como os disponíveis na Play Store. Os hackers criam versões falsas de aplicativos populares e, ao serem instalados, esses aplicativos maliciosos atuam como droppers, implantando um payload agressivo sem necessidade de conexão com a internet. A infecção ocorre através do sequestro de SMS, utilizando um malware chamado Wonderland, que permite a execução de comandos maliciosos em tempo real. Até o momento, a campanha foi observada principalmente no Uzbequistão, mas a técnica pode ser facilmente replicada em outros locais. O malware intercepta senhas de uso único e informações sensíveis, como credenciais bancárias, e se propaga entre os contatos da vítima. Para que o malware funcione, o usuário deve permitir a instalação de fontes desconhecidas, o que facilita o sequestro do número de celular e a continuidade da infecção. A estratégia dos hackers é criar uma aparência de legitimidade para enganar as vítimas e burlar verificações de segurança.

Uma nova campanha de malware, chamada GhostPoster, tem afetado usuários do navegador Firefox ao utilizar logos de 17 extensões legítimas para disseminar um software malicioso. Segundo a Koi Security, essas extensões foram baixadas mais de 50 mil vezes antes de serem desativadas. O malware é projetado para rastrear as atividades dos usuários e realizar fraudes, como sequestrar links de afiliados e injetar códigos de rastreamento. Os hackers se aproveitam de ícones de VPNs, bloqueadores de anúncios e ferramentas populares, como versões falsas do Google Tradutor, para enganar os usuários. Após a instalação, o malware analisa o sistema em busca de um marcador específico e se conecta a um servidor externo, iniciando uma série de ações maliciosas, como a interceptação de links de e-commerce e a criação de perfis falsos no Google Analytics. O software malicioso opera de forma furtiva, com um loader que espera até 48 horas entre as tentativas de busca, dificultando sua detecção. Essa situação levanta preocupações sobre a segurança dos dados dos usuários e a eficácia das medidas de proteção existentes.

O cenário de cibersegurança em 2025 foi marcado por uma série de incidentes que revelaram a vulnerabilidade de ferramentas amplamente utilizadas. Entre os principais eventos, destaca-se a exploração da vulnerabilidade CVE-2025-14847 no MongoDB, que afeta mais de 87 mil instâncias globalmente, permitindo que atacantes não autenticados acessem dados sensíveis. Além disso, um ataque à extensão do Chrome do Trust Wallet resultou em perdas de aproximadamente US$ 7 milhões, após a publicação de uma versão maliciosa da extensão. Outro incidente significativo foi a campanha de espionagem cibernética do grupo Evasive Panda, que utilizou envenenamento de DNS para implantar o malware MgBot em alvos na Turquia, China e Índia. A violação de dados da LastPass em 2022 também teve consequências prolongadas, com a exploração de senhas fracas resultando em um roubo de criptomoedas de pelo menos US$ 35 milhões. Por fim, um pacote malicioso no repositório npm, que se passava por uma API do WhatsApp, foi baixado mais de 56 mil vezes, permitindo que atacantes interceptassem mensagens dos usuários. Esses eventos ressaltam a necessidade urgente de atualizações e monitoramento contínuo das infraestruturas de TI.

Em 2024, a segurança cibernética enfrentou um aumento alarmante de 25% em vazamentos de dados, totalizando 23,77 milhões de segredos expostos, devido a falhas em sistemas de inteligência artificial (IA). Incidentes como a invasão da biblioteca Ultralytics AI, que instalou código malicioso para mineração de criptomoedas, e a exposição de 2.349 credenciais por pacotes Nx, destacam a vulnerabilidade das organizações, mesmo aquelas com programas de segurança robustos. Os frameworks tradicionais de segurança, como NIST e ISO, não foram projetados para lidar com as especificidades das ameaças de IA, resultando em lacunas significativas na proteção. Por exemplo, ataques de injeção de prompt e envenenamento de modelo exploram falhas que não são abordadas por controles convencionais. A falta de diretrizes específicas para esses vetores de ataque torna as empresas vulneráveis, mesmo após auditorias e conformidade com normas de segurança. A situação é crítica, pois a detecção de ataques relacionados à IA pode levar ainda mais tempo, exacerbando o risco. A crescente adoção de pacotes de IA em ambientes de nuvem aumenta ainda mais a superfície de ataque, exigindo uma reavaliação urgente das estratégias de segurança.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing que utilizou 27 pacotes maliciosos no registro npm para roubar credenciais. A operação, que durou cinco meses, visou principalmente profissionais de vendas e comerciais em organizações de infraestrutura crítica nos EUA e países aliados. Os pacotes, que não precisam ser instalados, servem como infraestrutura para hospedar iscas em HTML e JavaScript que imitam portais de compartilhamento de documentos e páginas de login da Microsoft. Os atacantes implementaram várias técnicas para dificultar a análise, como a obfuscação do código e a inclusão de campos de formulário honeypot. Além disso, os pacotes continham endereços de e-mail de 25 indivíduos específicos em setores como manufatura e saúde, levantando suspeitas sobre como os atacantes obtiveram essas informações. Para mitigar os riscos, é crucial que as organizações reforcem a verificação de dependências, monitorem solicitações incomuns de CDNs e implementem autenticação multifator resistente a phishing.

Uma vulnerabilidade crítica no MongoDB, identificada como CVE-2025-14847, está sendo ativamente explorada, com mais de 87 mil instâncias potencialmente vulneráveis em todo o mundo. Com uma pontuação CVSS de 8.7, a falha permite que atacantes não autenticados vazem dados sensíveis da memória do servidor MongoDB. O problema está relacionado à implementação da descompressão de mensagens zlib no MongoDB, que é a configuração padrão. Ao enviar pacotes de rede malformados, um atacante pode extrair fragmentos de dados privados, incluindo informações de usuários, senhas e chaves de API. Embora a exploração exija o envio de um grande volume de requisições, o tempo disponível para o atacante aumenta a quantidade de dados que podem ser coletados. A empresa de segurança Wiz alerta que 42% dos ambientes em nuvem têm pelo menos uma instância do MongoDB em versões vulneráveis. Para mitigar o problema, recomenda-se atualizar para versões seguras do MongoDB e desativar a compressão zlib. Além disso, é aconselhável restringir a exposição da rede dos servidores MongoDB e monitorar logs em busca de conexões anômalas.

A Autenticação de Dois Fatores (2FA) é uma medida de segurança essencial na era digital, que vai além do uso de senhas estáticas. Com o aumento dos vazamentos de dados, como os 300 milhões de registros pessoais que vazaram na dark web em 2025, a 2FA se torna crucial para proteger informações pessoais. O método combina dois fatores de verificação: algo que o usuário sabe (como uma senha) e algo que ele possui (como um smartphone ou token). Existem diferentes tipos de 2FA, desde o menos seguro, que utiliza SMS, até chaves de segurança física, que oferecem a maior proteção. A 2FA é fundamental para prevenir ataques como o credential stuffing e phishing, pois mesmo que a senha seja comprometida, o acesso à conta ainda requer o segundo fator de autenticação. Com a crescente sofisticação dos cibercriminosos, adotar a 2FA é uma estratégia eficaz para reforçar a segurança online.

O vazamento de dados pessoais, como CPF, é o início de uma série de problemas que podem se estender por anos. Após a exposição, essas informações se tornam mercadorias em uma economia paralela, sendo negociadas em fóruns da dark web. Especialistas afirmam que, uma vez que um CPF vaza, ele não ‘desvaza’, pois é agregado a outras bases de dados e circula entre grupos criminosos. Os dados são utilizados para fraudes financeiras, como a abertura de contas e a realização de compras em nome da vítima. O processo de monetização envolve etapas como o comprometimento da fonte de dados, extração, enriquecimento e exploração dos dados. O uso de inteligência artificial tem tornado os ataques, como phishing, mais sofisticados e difíceis de detectar. Após um vazamento, é crucial que a vítima atue rapidamente, trocando senhas, ativando autenticação em múltiplos fatores e monitorando suas contas. A responsabilidade pelo vazamento recai sobre a empresa que detinha os dados, que deve demonstrar que adotou medidas de segurança adequadas. A Lei Geral de Proteção de Dados (LGPD) impõe sanções severas para empresas que não cumprirem suas obrigações de proteção de dados.

Com a chegada das festas de fim de ano, a atividade de golpistas aumenta, tornando essencial a adoção de medidas de segurança online. Especialistas da Norton VPN alertam que um simples clique em um link malicioso pode transformar as compras natalinas em um pesadelo. O aumento de sites fraudulentos, que cresceu mais de 250% antes do Black Friday de 2025, destaca a importância de estar atento a ofertas que parecem boas demais para serem verdade. Os golpistas estão se adaptando, utilizando e-mails, mensagens de texto e chamadas telefônicas para enganar os consumidores. Para se proteger, é fundamental usar o bom senso, verificar a legitimidade das ofertas digitando o endereço do site diretamente no navegador e não se deixar levar pela pressão do tempo. Além disso, ferramentas como proteção contra fraudes por IA e VPNs podem ajudar a mitigar riscos. A conscientização e a cautela são as melhores defesas contra essas ameaças durante a temporada de compras.

A Phreeli, operadora móvel virtual (MVNO), lançou um serviço de telefonia celular que prioriza a privacidade dos usuários em mais de 90 países. O serviço oferece chamadas, mensagens e dados ilimitados, além de suporte a pagamentos em criptomoedas, o que proporciona um nível de anonimato incomum em serviços de telefonia convencionais. A proteção de dados é garantida através de um sistema que separa as interações dos usuários em três serviços distintos: serviço de dados, serviço de usuário e serviço de mistura, minimizando a exposição de informações pessoais. Os planos variam de US$ 25 a US$ 85 por mês, dependendo da quantidade de dados de alta velocidade, e todos incluem mensagens internacionais. Apesar das inovações, a Phreeli pode enfrentar desafios regulatórios devido à falta de requisitos de identificação padrão, o que pode levantar preocupações sobre fraudes e lavagem de dinheiro. A adoção do serviço dependerá da aceitação regulatória e da confiança dos usuários, especialmente considerando que a MVNO utiliza infraestrutura celular existente, permitindo a ativação instantânea via eSIM.

A Fujifilm anunciou o lançamento de um novo cartucho de fita magnética LTO Ultrium 10 com capacidade nativa de 40TB, que pode chegar a 100TB com compressão. Este produto visa atender a empresas que enfrentam um aumento nos incidentes de ransomware e a crescente pressão regulatória sobre a proteção de dados. O cartucho, que é compatível com unidades LTO-10 existentes, promete maior eficiência em custos de armazenamento a longo prazo, especialmente em cenários de retenção de dados. Com uma taxa de transferência máxima de 400MB/s nativa e até 1000MB/s comprimida, a nova fita é projetada para suportar temperaturas de operação entre 15°C e 35°C e níveis de umidade de até 80%. A Fujifilm destaca a durabilidade e a performance estável de leitura e gravação, embora a confiabilidade em condições de estresse dependa da disciplina de implantação. Apesar das alegações de que a mídia física está obsoleta, a fita magnética continua a desempenhar um papel importante nas estratégias de armazenamento corporativo, especialmente devido à sua capacidade de isolamento offline, que limita a exposição a ataques cibernéticos. O cartucho estará disponível a partir de janeiro de 2026, em três configurações diferentes.

Com a aproximação das festas de fim de ano, golpistas estão aproveitando o aumento do tráfego de e-mails para aplicar fraudes que visam roubar informações pessoais e bancárias. Segundo a análise da X-Labs, os golpes se disfarçam como promoções de Natal ou notificações de pedidos, utilizando mensagens que parecem legítimas para evitar a desconfiança dos usuários. Esses e-mails, que passam por sistemas de envio em massa, apresentam formatação limpa e opções de cancelamento, o que ajuda a driblar sistemas básicos de detecção de spam.

Uma falha de segurança de alta gravidade foi identificada no MongoDB, permitindo que usuários não autenticados leiam memória heap não inicializada. A vulnerabilidade, classificada como CVE-2025-14847 com uma pontuação CVSS de 8.7, resulta de um tratamento inadequado de inconsistências no parâmetro de comprimento. Isso ocorre quando um programa não lida corretamente com situações em que um campo de comprimento não corresponde ao tamanho real dos dados associados. A falha afeta várias versões do MongoDB, incluindo as versões 8.2.0 a 8.2.3, 8.0.0 a 8.0.16, e versões anteriores até a 3.6. A MongoDB já lançou correções nas versões 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30. Caso a atualização imediata não seja viável, recomenda-se desabilitar a compressão zlib no servidor MongoDB. A exploração dessa falha pode resultar na divulgação de dados sensíveis que podem auxiliar um atacante em futuras explorações.

A Trust Wallet, serviço de carteira de criptomoedas, está alertando seus usuários para atualizarem a extensão do Google Chrome após um incidente de segurança que resultou na perda de aproximadamente US$ 7 milhões. O problema afeta a versão 2.68 da extensão, que possui cerca de um milhão de usuários. A empresa recomenda a atualização imediata para a versão 2.69. O ataque, conforme relatado pela SlowMist, introduziu um código malicioso que acessava as carteiras armazenadas na extensão e solicitava a frase mnemônica de cada uma. Essa informação era então enviada para um servidor controlado pelo atacante. Até o momento, cerca de US$ 3 milhões em Bitcoin, US$ 431 em Solana e mais de US$ 3 milhões em Ethereum foram drenados. A Trust Wallet afirmou que está trabalhando para reembolsar todos os usuários afetados e pediu que os usuários evitem interagir com mensagens que não venham de seus canais oficiais. A possibilidade de que o ataque tenha sido realizado por um ator de estado-nação foi levantada, e o cofundador da Binance, Changpeng Zhao, sugeriu que o ataque pode ter sido realizado por um insider.

Uma falha de segurança crítica foi identificada no LangChain Core, um pacote Python essencial para aplicações que utilizam modelos de linguagem. A vulnerabilidade, classificada como CVE-2025-68664 e com um CVSS de 9.3, permite que atacantes explorem funções de serialização, como dumps() e dumpd(), para injetar dados maliciosos e potencialmente roubar segredos sensíveis. O problema reside na falta de escape de dicionários que contêm chaves ’lc’, que são usadas internamente pelo LangChain. Isso pode resultar na extração de segredos de variáveis de ambiente e na execução de código arbitrário. Para mitigar a vulnerabilidade, a equipe do LangChain lançou um patch que altera as configurações padrão, bloqueando a execução de templates Jinja2 e desativando a carga automática de segredos do ambiente. Além disso, uma falha semelhante foi encontrada no LangChain.js, com a CVE-2025-68665, que também permite a extração de segredos. Dada a gravidade da situação, os usuários são fortemente aconselhados a atualizar para versões corrigidas o mais rápido possível.

Um grupo de ameaça persistente avançada (APT) vinculado à China, conhecido como Evasive Panda, está por trás de uma campanha de espionagem cibernética altamente direcionada, que utiliza envenenamento de DNS para implantar o backdoor MgBot. Os ataques, que ocorreram entre novembro de 2022 e novembro de 2024, visaram principalmente vítimas na Turquia, China e Índia. A técnica de ataque envolve a manipulação de respostas DNS para redirecionar usuários a servidores controlados pelos atacantes, onde são entregues atualizações maliciosas disfarçadas de softwares legítimos, como o SohuVA.

Um novo relatório da TRM Labs revela que os backups criptografados roubados do LastPass, durante um ataque em 2022, estão sendo explorados por criminosos cibernéticos, especialmente associados à Rússia. Esses atacantes têm conseguido decifrar cofres de usuários que utilizam senhas mestras fracas, resultando em perdas significativas de ativos em criptomoedas até o final de 2025. A análise da TRM Labs indica que mais de 35 milhões de dólares em ativos digitais foram desviados, com 28 milhões convertidos em Bitcoin e lavados através da Wasabi Wallet. O LastPass foi multado em 1,6 milhão de dólares pelo Escritório do Comissário de Informação do Reino Unido por não implementar medidas de segurança adequadas. O relatório destaca que a falta de atualização de senhas e a segurança inadequada dos cofres permitiram que os atacantes continuassem a explorar vulnerabilidades por anos. As transações foram rastreadas através de exchanges russas, como Cryptex, que já foram sancionadas por atividades ilícitas. Essa situação evidencia como um único incidente de segurança pode se transformar em uma campanha de roubo prolongada, ressaltando a importância de medidas de segurança robustas e da conscientização dos usuários sobre a proteção de suas informações.

O cenário da cibersegurança está se tornando cada vez mais complexo, com atacantes utilizando ferramentas comuns e interfaces familiares para realizar suas atividades maliciosas. Recentemente, foi identificado um padrão de ataques que se destaca pela precisão, paciência e persuasão, onde os invasores não se destacam, mas se camuflam em atividades normais. Um exemplo é o uso do Nezha, uma ferramenta de monitoramento de código aberto, que está sendo explorada por cibercriminosos para obter acesso remoto a sistemas comprometidos. Além disso, a Coreia do Sul implementou uma nova política que exige reconhecimento facial para a ativação de novos números de telefone, visando combater fraudes e roubo de identidade. Por outro lado, a detecção de malware que explora NFC em dispositivos Android aumentou em 87% na segunda metade de 2025, demonstrando a crescente sofisticação das ameaças. Outro ponto alarmante é a distribuição de exploits falsos que visam profissionais inexperientes em segurança da informação, levando à instalação de backdoors como o WebRAT. Esses incidentes ressaltam a importância de uma conscientização mais aguda sobre as ameaças cibernéticas e a necessidade de estratégias de defesa mais eficazes, que vão além de simplesmente construir muros de proteção.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança nos gravadores de vídeo em rede (NVRs) Digiever DS-2105 Pro em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2023-52163, possui uma pontuação CVSS de 8.8 e está relacionada a uma injeção de comando que permite a execução remota de código após autenticação. Segundo a CISA, a falha se deve a uma vulnerabilidade de autorização ausente, que pode ser explorada através do arquivo time_tzsetup.cgi. Relatórios da Akamai e Fortinet indicam que a vulnerabilidade está sendo utilizada por agentes de ameaças para implantar botnets como Mirai e ShadowV2. A falha, juntamente com um bug de leitura de arquivo arbitrário (CVE-2023-52164, CVSS 5.1), permanece sem correção, uma vez que o dispositivo atingiu o status de fim de vida (EoL). A CISA recomenda que as agências do governo federal dos EUA adotem as devidas mitig ações ou descontinuem o uso do produto até 12 de janeiro de 2025, para proteger suas redes contra ameaças ativas.

O Dell Pro Micro QCM1250 é uma opção atraente para quem busca um mini PC moderno e eficiente por menos de $700. Atualmente, está disponível por $699,99 na Newegg, uma redução significativa em relação ao preço original de $999,99 e muito mais barato do que o preço direto da Dell, que é de $1.179,00. Este desktop compacto é equipado com um processador Intel Core Ultra 5 235T, 16GB de memória DDR5 e um SSD NVMe de 256GB, rodando o Windows 11 Pro. Além disso, a oferta inclui uma assinatura gratuita do NordVPN, avaliada em $50, que é considerada uma ferramenta essencial para segurança online. Embora o armazenamento de 256GB possa ser considerado limitado, é possível realizar uma atualização posteriormente. O Pro Micro é ideal para multitarefas, trabalho de escritório e desenvolvimento, apresentando um design que minimiza o calor e o ruído, tornando-o adequado para ambientes profissionais. Com um peso de pouco mais de 1,3 kg, é uma solução prática e eficiente para quem precisa de um desktop que ocupe pouco espaço.

Pesquisadores de cibersegurança descobriram uma nova variante do malware MacSync, um ladrão de informações para macOS, que é distribuído por meio de um aplicativo Swift assinado digitalmente e notariado, disfarçado como instalador de um aplicativo de mensagens. Essa abordagem visa contornar as verificações de segurança da Apple, como o Gatekeeper. Ao contrário de variantes anteriores que utilizavam técnicas de arrastar para o terminal, esta versão adota uma abordagem mais enganosa e automatizada. O instalador, nomeado ‘zk-call-messenger-installer-3.9.2-lts.dmg’, foi encontrado em um site específico e, apesar de ser assinado, exibe instruções para que os usuários abram o aplicativo manualmente, uma tática comum para evitar bloqueios. O dropper em Swift realiza várias verificações antes de baixar e executar um script codificado, incluindo a validação da conectividade com a internet e a remoção de atributos de quarentena. Além disso, a nova variante apresenta mudanças significativas na forma como o payload é recuperado, utilizando comandos que visam melhorar a confiabilidade e evitar detecções. A inclusão de documentos PDF irrelevantes no DMG também serve como uma técnica de evasão, aumentando o tamanho do arquivo para 25,5 MB. O MacSync, uma versão rebranded do Mac.c, possui capacidades de controle remoto além do roubo de dados, refletindo uma tendência crescente de malware que se disfarça como aplicativos legítimos.

Em 2025, as pequenas e médias empresas (PMEs) se tornaram o principal alvo de cibercriminosos, representando 70,5% das violações de dados registradas. Este fenômeno se deve ao aumento dos investimentos em cibersegurança por grandes empresas, que estão menos propensas a pagar resgates, levando os hackers a direcionar suas atenções para negócios menores, que possuem menos recursos para se proteger. Dados de empresas como Tracelo, PhoneMondo e SkilloVilla, que sofreram vazamentos significativos, revelam que informações pessoais, como nomes, endereços e senhas, estão sendo vendidas na dark web. Para mitigar esses riscos, as PMEs devem implementar autenticação de dois fatores, controlar rigorosamente o acesso às informações e armazenar dados sensíveis de forma segura. A adoção de gerenciadores de senhas pode ser uma solução eficaz para proteger credenciais e evitar ataques de phishing. À medida que os hackers continuam a explorar vulnerabilidades em PMEs, é crucial que essas empresas adotem medidas proativas para proteger seus dados e redes.

O esquema de fraude de investimento conhecido como Nomani teve um aumento de 62% em suas atividades, conforme dados da ESET. Inicialmente documentado em dezembro de 2024, o Nomani utiliza malvertising em redes sociais, como Facebook e YouTube, além de vídeos de testemunhos gerados por inteligência artificial (IA) para enganar usuários a investirem em produtos inexistentes. Os golpistas solicitam taxas adicionais ou informações pessoais, como documentos de identidade e dados de cartão de crédito, quando as vítimas tentam retirar os lucros prometidos. Além disso, os fraudadores tentam enganar as vítimas novamente, oferecendo ajuda para recuperar os fundos roubados, mas acabam causando mais perdas financeiras. A ESET bloqueou mais de 64 mil URLs únicas associadas a essa ameaça, com a maioria das detecções originando-se de países como República Tcheca, Japão, Eslováquia, Espanha e Polônia. Apesar do aumento geral nas detecções, houve uma queda de 37% nas detecções na segunda metade de 2025, sugerindo que os atacantes estão mudando suas táticas em resposta a esforços de aplicação da lei. O uso de deepfakes de personalidades populares e a melhoria na qualidade dos vídeos gerados por IA tornam a identificação da fraude mais difícil para os usuários.

O artigo aborda a crescente preocupação com o vazamento de credenciais na dark web, destacando que milhões de senhas e e-mails são expostos diariamente, muitas vezes devido a grandes violações de segurança em empresas. Para verificar se suas informações foram comprometidas, o texto apresenta ferramentas como ‘Have I Been Pwned’, que permite aos usuários checar se seus e-mails foram expostos em vazamentos. Além disso, navegadores como Chrome e Edge oferecem alertas sobre senhas vazadas, enquanto o Google anunciou uma ferramenta de monitoramento da dark web, que será descontinuada em 2026. O artigo também menciona o ‘credential stuffing’, uma técnica utilizada por cibercriminosos para explorar senhas vazadas em múltiplas plataformas. Após a confirmação de um vazamento, recomenda-se trocar senhas imediatamente, verificar regras de encaminhamento de e-mail e encerrar sessões em dispositivos. Para aumentar a segurança, o uso de gerenciadores de senhas, autenticação de dois fatores e aliasing de e-mail são sugeridos como medidas preventivas eficazes.

A Comissão de Valores Mobiliários dos EUA (SEC) apresentou acusações contra várias empresas envolvidas em um esquema de fraude em criptomoedas que lesou investidores em mais de US$ 14 milhões. As plataformas de negociação Morocoin Tech Corp., Berge Blockchain Technology Co., Ltd. e Cirkor Inc., além de clubes de investimento como AI Wealth Inc. e Lane Wealth Inc., foram citadas na denúncia. O golpe foi estruturado em várias etapas, atraindo vítimas por meio de anúncios nas redes sociais e interações em grupos de mensagens, onde os golpistas se passavam por profissionais financeiros, prometendo retornos com base em dicas de investimento geradas por inteligência artificial (IA). Os investidores foram convencidos a depositar fundos em plataformas de negociação falsas, que alegavam ter licenças governamentais. Quando tentaram retirar seus investimentos, foram solicitados a pagar taxas antecipadas. A SEC busca penalidades civis e a devolução dos valores, destacando a gravidade da fraude que afeta investidores de varejo nos EUA.

Um estudo da Check Point Research revelou que grupos de hackers estão adotando táticas inovadoras para obter acesso a sistemas internos de empresas, especialmente bancos e empresas de tecnologia. Em vez de utilizar métodos tradicionais de invasão, como força bruta ou exploração de vulnerabilidades, esses cibercriminosos estão oferecendo recompensas financeiras a funcionários para que eles forneçam acesso a dados sensíveis. Os valores pagos podem variar de US$ 3.000 (cerca de R$ 16.500) a US$ 15.000 (R$ 83 mil) por acesso a informações específicas. Além disso, dados valiosos, como registros de clientes, estão sendo vendidos na dark web por quantias ainda maiores, como US$ 25.000 (R$ 138 mil) por 37 mil registros. Os hackers utilizam apelos emocionais e promessas de liberdade financeira para atrair os funcionários, que são abordados em plataformas como Telegram e redes sociais. O caso de um funcionário da Crowdstrike que vazou informações para um grupo de hackers ilustra o risco que essa abordagem representa, uma vez que contorna as medidas de segurança tradicionais. A situação destaca a necessidade urgente de as empresas implementarem políticas de segurança mais rigorosas e programas de conscientização para seus colaboradores.

O Spotify confirmou uma violação de segurança que resultou no vazamento de aproximadamente 86 milhões de músicas de seu catálogo, totalizando cerca de 300 TB de dados. O ataque foi realizado pelo grupo hacker conhecido como Anna’s Archive, que se autodenomina ‘arquivista’. Utilizando uma técnica chamada ‘scraping’, o grupo extraiu uma quantidade massiva de conteúdo da plataforma de streaming, conseguindo copiar quase 99,6% das reproduções disponíveis. O Spotify, em resposta ao incidente, desativou contas de usuários maliciosos e implementou medidas de segurança adicionais para prevenir novos vazamentos. Apesar da gravidade do ataque, a empresa afirmou que os usuários da plataforma não foram afetados diretamente. O Anna’s Archive justificou sua ação como uma tentativa de criar um ‘arquivo de preservação’ da música na internet, o que levanta questões sobre direitos autorais e a ética do compartilhamento de dados. O incidente destaca a vulnerabilidade de plataformas de streaming e a necessidade de reforço nas medidas de segurança para proteger conteúdos digitais.

Um estudo recente da Digitain revelou que o ChatGPT Atlas, da OpenAI, e o Google Chrome são os navegadores com maior risco à privacidade dos usuários. O ChatGPT Atlas obteve uma pontuação de 99 em 100, indicando falhas significativas em bloquear o rastreamento de usuários entre sessões e sites. O Google Chrome, embora mais popular, ficou em segundo lugar com uma pontuação de 76, demonstrando que a proteção de dados não é uma prioridade para grandes empresas do setor. Outros navegadores, como Mozilla Firefox e Apple Safari, também apresentaram pontuações baixas, levantando preocupações sobre a segurança dos dados dos internautas. Em contrapartida, navegadores como Brave e Mullvad Browser se destacaram por suas funcionalidades focadas na privacidade, sendo recomendados para aqueles que buscam maior proteção online. O estudo alerta que a crescente popularidade de navegadores baseados em inteligência artificial pode aumentar a coleta de dados pessoais, o que representa um risco adicional para a privacidade dos usuários.

Recentemente, duas campanhas de malware têm se destacado por enganar usuários e comprometer dispositivos. A primeira, identificada pela Cyderes, envolve a distribuição de software pirata, especificamente um loader chamado CountLoader. Este malware é instalado quando a vítima tenta baixar versões crackeadas de programas legítimos, como o Microsoft Word, através de links em sites falsos. O arquivo ZIP corrompido contém um documento que, ao ser aberto, executa comandos maliciosos, criando uma tarefa agendada que permite ao malware coletar dados sensíveis do usuário, burlando até mesmo a detecção de antivírus.

O governo da Coreia do Sul anunciou, em 19 de dezembro de 2025, a implementação de um sistema de verificação facial obrigatório para todas as operadoras de telefonia ao vender novos chips de celular. Esta medida, proposta pelo Ministério da Ciência e Tecnologias da Informação e Comunicação, visa combater o aumento de fraudes, especialmente os golpes de phishing por voz, conhecidos como vishing. A nova exigência inclui a apresentação de documentos de identidade durante a venda, o que deve dificultar a criação de contas fraudulentas. As principais operadoras do país, SK Telecom, LG Uplus e Korea Telecom, já oferecem um aplicativo chamado PASS, que armazenará informações biométricas dos usuários. A Coreia do Sul já enfrentou sérios problemas de segurança, com incidentes de vazamento de dados que afetaram milhões de cidadãos. Em 2024, a Coupang teve 30 milhões de registros expostos, e a SK Telecom também sofreu um vazamento significativo, resultando em multas e compensações financeiras. A medida é uma resposta a um cenário em que operadoras virtuais, que não possuem infraestrutura própria, foram responsáveis por 92% dos números falsos detectados no último ano.

O artigo de Arthur Capella utiliza a metáfora de um leão na savana para ilustrar o cenário atual da cibersegurança, onde as empresas precisam estar mais preparadas do que seus concorrentes para evitar ataques cibernéticos. Ele destaca que a crença de que é possível construir defesas impenetráveis é um equívoco, já que nenhuma fortaleza é perfeita. O verdadeiro diferencial está em reconhecer que falhas são inevitáveis e em estar pronto para reagir rapidamente. Muitas organizações, ao invés de entenderem o risco, acumulam ferramentas e relatórios, criando uma falsa sensação de segurança. O papel da cibersegurança deve ser viabilizar o negócio, priorizando a proteção dos ativos mais críticos. Além disso, o autor enfatiza que a tecnologia sozinha não é suficiente; é necessário cultivar uma cultura de cibersegurança que envolva processos e pessoas bem treinadas. A abordagem deve ser baseada em risco, focando no que realmente representa uma ameaça ao negócio, e não apenas na quantidade de ferramentas implementadas. O artigo conclui que, em um ambiente de cibersegurança, a preparação é fundamental para evitar se tornar a presa do leão.

Um estudo recente da NordPass e da Comparitech revelou que a Geração Z, apesar de ser a primeira geração de nativos digitais, está adotando práticas de segurança fracas ao escolher senhas. A pesquisa, que analisou dados de violações de segurança entre setembro de 2024 e setembro de 2025, mostrou que as senhas mais utilizadas por jovens incluem sequências numéricas simples como ‘12345’, ‘123456’ e até a palavra ‘password’. Essa escolha reflete uma tendência preocupante, onde a facilidade de lembrar senhas supera a necessidade de segurança. Daniel Barbosa, pesquisador de segurança da ESET, destaca que essa geração, mesmo mais conectada, não está adotando boas práticas de segurança digital. Além disso, o estudo revelou que 25% das senhas analisadas são fracas, afetando não apenas a Geração Z, mas também Millennials, Geração X e Baby Boomers. Para mitigar esses riscos, especialistas recomendam a criação de senhas mais complexas e o uso de gerenciadores de senhas, evitando a repetição de credenciais em diferentes contas.

Os ataques de canal lateral são uma técnica sofisticada utilizada por cibercriminosos para extrair informações sensíveis, como chaves criptográficas, sem precisar invadir diretamente um sistema. Em vez de explorar vulnerabilidades de software, esses ataques se concentram na análise do comportamento físico de componentes de hardware durante o processamento de dados. Os hackers podem monitorar o consumo de energia, o tempo de resposta, a emissão de radiação eletromagnética e até mesmo os sons emitidos pelos dispositivos para deduzir informações valiosas. Exemplos notáveis incluem as vulnerabilidades Spectre e Meltdown, que afetaram processadores modernos e revelaram a fragilidade das implementações de segurança física. Embora a maioria dos ataques de canal lateral exija que o atacante esteja fisicamente próximo do alvo, dispositivos de Internet das Coisas (IoT) e ambientes de nuvem são particularmente vulneráveis. Para se proteger, recomenda-se a atualização constante de sistemas operacionais e a implementação de medidas como blindagem eletromagnética e algoritmos de tempo constante. No entanto, para usuários comuns, identificar esses ataques pode ser extremamente difícil, já que não há sinais visíveis de comprometimento.

A Universidade de Phoenix confirmou que sofreu um ataque de ransomware do grupo Cl0p, resultando no vazamento de dados sensíveis de aproximadamente 3,5 milhões de pessoas. O ataque ocorreu em agosto de 2025, quando os hackers exploraram uma vulnerabilidade zero-day no Oracle E-Business Suite, um software amplamente utilizado para gerenciar processos empresariais. Os dados comprometidos incluem nomes completos, informações de contato, datas de nascimento, números de Seguro Social e detalhes bancários. Após a divulgação do ataque, a universidade iniciou uma investigação que confirmou a violação. Para mitigar os danos, a instituição notificou os afetados e ofereceu 12 meses de proteção contra roubo de identidade, monitoramento de crédito e uma política de reembolso de até 1 milhão de dólares para fraudes. Este incidente é considerado um dos maiores ataques de ransomware de 2025, destacando a crescente ameaça que as organizações enfrentam em relação a vulnerabilidades em software amplamente utilizado.

O Passwd é um gerenciador de senhas projetado especificamente para organizações que utilizam o Google Workspace. Com foco em segurança, ele utiliza criptografia AES-256 para proteger credenciais e dados sensíveis, garantindo que apenas os usuários possam acessar informações descriptografadas, em uma arquitetura de zero-knowledge. O sistema oferece controle administrativo centralizado, permissões baseadas em funções e rastreamento de acessos, facilitando a conformidade com normas como SOC 2 e GDPR.

A integração com o Google Workspace permite que os usuários façam login usando suas contas Google, eliminando a necessidade de gerenciar senhas mestras adicionais. O Passwd é compatível com diversos dispositivos, incluindo extensões para navegadores e aplicativos móveis, o que proporciona uma experiência de uso consistente. Além disso, oferece funcionalidades como geração de senhas seguras e auditorias de credenciais.

Pesquisadores de cibersegurança identificaram duas extensões maliciosas do Google Chrome, ambas com o nome ‘Phantom Shuttle’, que interceptam tráfego e capturam credenciais de usuários. Publicadas por um mesmo desenvolvedor, as extensões prometem ser um plug-in de teste de velocidade de rede, mas na verdade atuam como proxies man-in-the-middle, coletando dados sensíveis. Os usuários pagam entre ¥9.9 e ¥95.9 CNY (aproximadamente R$ 1,40 a R$ 13,50) acreditando que estão adquirindo um serviço legítimo de VPN. Após a ativação, as extensões injetam credenciais de proxy em solicitações de autenticação HTTP, permitindo que os atacantes capturem informações como senhas, números de cartão de crédito e dados de navegação. A operação, que parece ter origem na China, utiliza uma infraestrutura profissional para parecer legítima, enquanto compromete a segurança dos usuários. É recomendado que os usuários removam essas extensões imediatamente e que as equipes de segurança implementem medidas de monitoramento e controle de extensões no ambiente corporativo.

A Comissão Federal de Comunicações dos EUA (FCC) anunciou uma proibição de drones e componentes críticos fabricados em países estrangeiros, especialmente da China, devido a preocupações com a segurança nacional. A medida, que se alinha ao Ato de Autorização de Defesa Nacional de 2025, visa proteger o espaço aéreo americano e prevenir o uso indevido de drones por criminosos e agentes hostis. A FCC destacou que drones e componentes como sistemas de comunicação e controle de voo, se produzidos fora dos EUA, podem facilitar vigilância não autorizada e operações destrutivas. A proibição não afeta drones já adquiridos pelos consumidores, nem impede a venda de modelos aprovados anteriormente. Essa decisão é especialmente relevante à medida que os EUA se preparam para eventos de grande escala, como a Copa do Mundo de 2026 e as Olimpíadas de 2028. A FCC também indicou que componentes poderiam ser isentos se o Departamento de Segurança Interna dos EUA determinasse que não representam riscos. A medida reflete uma crescente preocupação com a segurança cibernética e a proteção de dados sensíveis em um cenário global cada vez mais complexo.

Uma vulnerabilidade crítica foi identificada na plataforma de automação de workflows n8n, classificada como CVE-2025-68613, com um alto índice de severidade de 9.9 no CVSS. Essa falha permite que usuários autenticados executem código arbitrário em um contexto de execução inadequadamente isolado, o que pode levar à total comprometimento da instância afetada, incluindo acesso não autorizado a dados sensíveis e modificação de workflows. A vulnerabilidade afeta todas as versões do n8n a partir da 0.211.0 até antes da 1.120.4. As versões corrigidas incluem 1.120.4, 1.121.1 e 1.122.0. Com mais de 103 mil instâncias potencialmente vulneráveis, a maioria localizadas nos EUA, Alemanha, França, Brasil e Cingapura, é essencial que os usuários apliquem as atualizações imediatamente. Caso a aplicação do patch não seja viável, recomenda-se restringir as permissões de criação e edição de workflows a usuários confiáveis e implementar o n8n em um ambiente seguro com privilégios de sistema e acesso à rede limitados.

O Departamento de Justiça dos EUA anunciou a apreensão do domínio web3adspanels[.]org, que era utilizado para facilitar um esquema de fraude de tomada de conta bancária. Este domínio servia como um painel de controle para manipular credenciais de login bancário obtidas ilegalmente. Os criminosos veiculavam anúncios fraudulentos em motores de busca como Google e Bing, redirecionando usuários desavisados para sites falsos de bancos, onde suas credenciais eram coletadas por meio de um software malicioso. Até o momento, o esquema resultou em 19 vítimas nos EUA, incluindo duas empresas na Geórgia, com perdas estimadas em cerca de $28 milhões, sendo $14,6 milhões em perdas reais. O domínio apreendido armazenava as credenciais de login de milhares de vítimas e facilitava fraudes até recentemente. O FBI relatou mais de 5.100 queixas relacionadas a fraudes de tomada de conta bancária desde janeiro de 2025, totalizando perdas superiores a $262 milhões. O DoJ recomenda que os usuários sejam cautelosos ao compartilhar informações online, monitorem suas contas e utilizem senhas complexas.

Uma nova campanha de phishing tem como alvo usuários do Microsoft 365, com a identificação de um grupo de hackers possivelmente vinculado à Rússia. Desde setembro de 2025, esses ataques têm como foco organizações governamentais e militares dos Estados Unidos e Europa, visando entidades públicas, centros de pesquisa e instituições de ensino superior. Os criminosos estabelecem um contato inicial legítimo com as vítimas, agendando reuniões fictícias. Após esse contato, um link é enviado, supostamente para um documento no Microsoft OneDrive, mas que na verdade redireciona para uma página falsa que imita a conta do usuário. Ao copiar um código e clicar em “Avançar”, a vítima é levada a uma URL legítima de login, onde os hackers conseguem capturar as credenciais. A escolha dos alvos, que inclui setores críticos como energia e pesquisa, levanta preocupações sobre a segurança de informações sensíveis e a possibilidade de acesso a dados sigilosos.

O Brevard Skin and Cancer Center, localizado na Flórida, confirmou que notificou 55.500 pessoas sobre um vazamento de dados ocorrido em setembro de 2025. As informações comprometidas incluem números de Seguro Social, dados de faturamento e reivindicações, diagnósticos, números de telefone, endereços residenciais, datas de nascimento e endereços de e-mail. O grupo de ransomware PEAR reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,8 TB de dados. Embora a Brevard tenha iniciado uma investigação, ainda não confirmou se pagou um resgate ou como a violação ocorreu. A instituição está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas afetadas. O grupo PEAR, que começou a operar em agosto de 2025, é conhecido por focar em roubo de dados e extorsão, sem criptografar as informações. Este incidente é parte de uma tendência crescente de ataques de ransomware em provedores de saúde nos EUA, que já contabilizam 89 ataques confirmados, comprometendo mais de 8,25 milhões de registros. O ataque à Brevard destaca a vulnerabilidade do setor de saúde e a necessidade urgente de medidas de segurança robustas.

Pesquisadores de cibersegurança revelaram um novo pacote malicioso no repositório npm, chamado ’lotusbail’, que se disfarça como uma API funcional do WhatsApp. Desde sua publicação em maio de 2025, o pacote foi baixado mais de 56.000 vezes, com 711 downloads apenas na última semana. O malware é capaz de interceptar mensagens, roubar credenciais do WhatsApp e instalar um backdoor persistente no dispositivo da vítima. Ele captura tokens de autenticação, histórico de mensagens, listas de contatos e arquivos de mídia, enviando esses dados para um servidor controlado pelo atacante de forma criptografada. Além disso, o pacote permite que o dispositivo do invasor se conecte à conta do WhatsApp da vítima, garantindo acesso contínuo mesmo após a desinstalação do pacote. A técnica utilizada envolve um wrapper malicioso de WebSocket que redireciona informações de autenticação e mensagens. O ’lotusbail’ também possui funcionalidades anti-debugging que dificultam a detecção. Este incidente destaca a crescente sofisticação dos ataques à cadeia de suprimentos, onde pacotes maliciosos se disfarçam como ferramentas legítimas, representando um risco significativo para desenvolvedores e usuários do WhatsApp.