Cibersegurança

A Intel está processando o ex-engenheiro de software Jinfeng Luo, que supostamente baixou cerca de 18.000 arquivos confidenciais da empresa após sua demissão em julho de 2025. O incidente destaca os riscos de segurança de dados durante a saída de funcionários e reestruturações organizacionais. Luo, que trabalhava em Seattle, foi demitido em meio a uma redução de força de trabalho que afetou mais de 15.000 empregados globalmente. Segundo a ação judicial, ele tentou transferir arquivos para um disco rígido externo em 23 de julho, mas foi bloqueado pelos sistemas de segurança da Intel. Em 28 de julho, ele conseguiu conectar um dispositivo diferente e baixar os arquivos sensíveis, que tinham marcações de “Top Secret”, violando regulamentos federais de segurança. A Intel está buscando pelo menos US$ 250.000 em danos e uma liminar para impedir a divulgação das informações roubadas. O caso ressalta a necessidade de protocolos mais rigorosos para gerenciar o acesso a dados durante transições de funcionários, levantando questões sobre controles de acesso e práticas de segurança em reestruturações organizacionais.

Pesquisadores de cibersegurança revelaram um novo conjunto de três extensões associadas à campanha GlassWorm, que continua a visar o ecossistema do Visual Studio Code (VS Code). As extensões, ainda disponíveis para download, incluem ‘ai-driven-dev’, ‘adhamu.history-in-sublime-merge’ e ‘yasuyuky.transient-emacs’. A campanha, documentada pela Koi Security, utiliza extensões do Open VSX Registry e do Microsoft Extension Marketplace para roubar credenciais do GitHub e de carteiras de criptomoedas, além de implantar ferramentas de acesso remoto. O malware se destaca por usar caracteres Unicode invisíveis para ocultar código malicioso, permitindo a replicação e a propagação em um ciclo autônomo. Apesar da remoção das extensões maliciosas pelo Open VSX, a ameaça ressurgiu, utilizando a mesma técnica de ofuscação para evitar detecções. A infraestrutura de comando e controle (C2) baseada em blockchain permite que os atacantes atualizem seus métodos de ataque com facilidade. A análise revelou que o ator de ameaças é de língua russa e utiliza uma estrutura de C2 de código aberto chamada RedExt. A GlassWorm também ampliou seu foco para o GitHub, utilizando credenciais roubadas para inserir commits maliciosos em repositórios.

Pesquisadores em cibersegurança alertaram sobre uma grande campanha de phishing que visa o setor hoteleiro, utilizando e-mails maliciosos que se disfarçam como comunicações do Booking.com. O ataque, que começou em abril de 2025, utiliza a técnica de engenharia social conhecida como ClickFix para redirecionar os gerentes de hotéis a páginas fraudulentas, onde suas credenciais são coletadas. O malware PureRAT é implantado através de comandos PowerShell, permitindo acesso remoto e controle total sobre os sistemas comprometidos. Além disso, os atacantes também se comunicam com clientes de hotéis via WhatsApp ou e-mail, solicitando a confirmação de dados bancários por meio de links falsos. A informação obtida é frequentemente vendida em fóruns de cibercrime, refletindo a profissionalização das operações criminosas. A campanha é considerada ativa e sofisticada, com novas técnicas sendo constantemente desenvolvidas para enganar as vítimas.

O TP-Link M8550 é um hotspot móvel 5G que se destaca por seu design compacto e interface touchscreen intuitiva. Com suporte a Wi-Fi 6E, o dispositivo permite conexões rápidas e estáveis, ideal para quem precisa de internet em movimento sem depender do celular. A configuração é simples: basta inserir um cartão SIM com um plano de dados e conectar-se via Wi-Fi. O M8550 oferece até 14 horas de bateria, embora a qualidade da conexão dependa da cobertura da rede 5G. Durante os testes, o dispositivo conseguiu suportar múltiplas conexões simultâneas sem perda significativa de velocidade. Além disso, possui recursos adicionais como um slot para cartão microSD e a possibilidade de conectar antenas externas para melhorar o sinal. No entanto, é importante considerar que o custo do dispositivo é elevado, e é necessário um contrato de dados móveis separado, o que pode ser um fator limitante para alguns usuários. No geral, o TP-Link M8550 é uma opção sólida para quem busca uma solução de internet móvel eficiente e segura.

O smishing e o vishing são formas de phishing que utilizam SMS e chamadas telefônicas, respectivamente, para enganar as vítimas e roubar informações pessoais. O smishing combina mensagens de texto com engenharia social, frequentemente se disfarçando como comunicações de bancos ou empresas conhecidas, alertando sobre problemas urgentes que exigem ação imediata, como o bloqueio de contas ou entrega de pacotes. Já o vishing envolve ligações telefônicas em que golpistas se passam por funcionários de instituições financeiras ou autoridades, solicitando dados sensíveis sob pretextos de urgência. Ambas as táticas exploram a confiança das vítimas e podem resultar em sérios danos financeiros e de privacidade. Para se proteger, é fundamental estar atento a sinais de alerta, como mensagens ou ligações que exigem informações pessoais e sempre verificar a autenticidade das comunicações recebidas.

Um novo relatório da NordPass revela que as regras de senhas em muitos dos sites mais visitados do mundo são inadequadas, permitindo que senhas curtas e previsíveis sejam usadas. A pesquisa analisou mil plataformas e constatou que 58% delas não exigem caracteres especiais, enquanto 42% não impõem um comprimento mínimo. Apenas 1% dos sites atendem aos padrões recomendados de segurança, que incluem combinações complexas de caracteres. Essa situação é preocupante, especialmente em setores críticos como governo e saúde, onde a proteção de dados sensíveis é essencial. A falta de rigor nas políticas de senha contribui para a normalização de hábitos inseguros entre os usuários, que, por sua vez, se tornam mais vulneráveis a ataques automatizados. A pesquisa destaca a necessidade de uma mudança cultural tanto entre os desenvolvedores de sites quanto entre os usuários, enfatizando que as plataformas devem implementar melhores práticas de segurança, como autenticação moderna e diretrizes claras para a criação de senhas. A situação atual não apenas expõe indivíduos, mas também empresas e governos a riscos significativos, especialmente em um cenário onde ataques cibernéticos estão se tornando mais rápidos e acessíveis.

A Microsoft divulgou detalhes sobre um novo ataque de canal lateral, denominado Whisper Leak, que pode permitir que adversários passem a observar o tráfego de rede para inferir tópicos de conversação em modelos de linguagem remotos, mesmo com a proteção de criptografia. Este ataque é particularmente preocupante, pois pode expor dados trocados entre usuários e modelos de linguagem em modo de streaming, colocando em risco a privacidade das comunicações de usuários e empresas. Pesquisadores da Microsoft explicaram que atacantes em posição de monitorar o tráfego criptografado, como agências governamentais ou provedores de internet, podem identificar se um usuário está discutindo tópicos sensíveis, como lavagem de dinheiro ou dissidência política, apenas analisando o tamanho dos pacotes e os tempos de chegada. A técnica foi testada com modelos de aprendizado de máquina, alcançando taxas de precisão superiores a 98% em identificar tópicos específicos. Embora a Microsoft e outras empresas tenham implementado medidas de mitigação, a eficácia do ataque pode aumentar com a coleta de mais amostras ao longo do tempo. A empresa recomenda que os usuários evitem discutir assuntos sensíveis em redes não confiáveis e considerem o uso de VPNs para proteção adicional.

Um recente roubo de joias no Museu do Louvre, onde ladrões disfarçados de trabalhadores da construção roubaram peças avaliadas em cerca de €88 milhões, expôs sérias falhas de segurança cibernética na instituição. Relatórios indicam que a senha do servidor de vigilância do museu era simplesmente ‘LOUVRE’, evidenciando a falta de medidas adequadas de proteção. Uma auditoria realizada em 2017 já havia alertado sobre a possibilidade de um ataque significativo, destacando que menos da metade das salas do museu eram monitoradas por câmeras. Após o roubo, a Agência Nacional de Segurança Cibernética da França (ANSSI) constatou que a rede de escritório do Louvre ainda utilizava sistemas obsoletos, como Windows 2000 e Windows Server 2003, sem proteção antivírus adequada. Embora não esteja claro se essas vulnerabilidades estavam presentes durante o roubo de outubro de 2025, um relatório de 2014 já havia revelado a fragilidade da rede de vigilância. A diretora do museu, Laurence des Cars, admitiu que a falha na detecção dos ladrões se deu pela ineficácia do sistema de câmeras. O governo francês planeja criar um novo departamento de segurança e aumentar a vigilância, especialmente em áreas críticas como a sala da Mona Lisa.

Desde os anos 90, a entrega de aplicações e dados tem evoluído, levando as empresas a adotarem diferentes modelos de entrega, como Aplicações Locais, VDI (Infraestrutura de Desktop Virtual), SaaS (Software como Serviço) e DaaS (Desktop como Serviço). As Aplicações Locais, instaladas diretamente nos dispositivos dos usuários, oferecem controle total, mas exigem gestão de atualizações e apresentam riscos de segurança. O VDI centraliza a entrega de desktops e aplicações, melhorando a segurança e a gestão de atualizações, mas requer conectividade constante e habilidades especializadas. O SaaS, por sua vez, fornece aplicações via assinatura, facilitando a manutenção, mas pode complicar a migração de dados e reintroduzir desafios de segurança. O DaaS aplica o modelo de SaaS a ambientes de desktop completos, permitindo que as empresas escalem rapidamente sem gerenciar a infraestrutura. A tendência atual é a adoção de abordagens híbridas, combinando diferentes modelos para atender às necessidades específicas de cada organização. A pesquisa da Parallels indica que 85% das empresas utilizam SaaS, mas apenas 2% dependem exclusivamente dele, refletindo a complexidade das decisões de TI. Os líderes de TI devem considerar fatores como segurança, compliance, agilidade e custos ao escolher a combinação ideal de modelos de entrega.

A nova funcionalidade do Microsoft Teams, que permite que usuários iniciem chats com qualquer pessoa apenas utilizando um endereço de e-mail, levanta sérias preocupações de segurança. Essa atualização, que será lançada em novembro de 2025, visa facilitar a colaboração, mas especialistas em cibersegurança alertam que pode se tornar um vetor primário para campanhas de phishing e distribuição de malware. A capacidade de convidar participantes externos como convidados, sem processos de validação, amplia a superfície de ataque para agentes maliciosos. Os atacantes podem enviar convites falsos que parecem ser de parceiros de negócios legítimos, levando os usuários a clicarem em links maliciosos ou a revelarem credenciais sensíveis. Além disso, a possibilidade de exposição acidental de dados confidenciais aumenta, especialmente em ambientes de trabalho híbridos. Para mitigar esses riscos, recomenda-se que as organizações desativem a funcionalidade por meio do PowerShell e implementem autenticação multifatorial, auditorias regulares de políticas e treinamentos de conscientização sobre phishing. A Microsoft reconheceu as implicações de segurança e aconselhou as empresas a atualizarem suas documentações internas e treinarem suas equipes de suporte.

Pesquisadores de cibersegurança da Palo Alto Networks, através da Unidade 42, identificaram uma campanha sofisticada de spyware para Android, chamada LANDFALL, que explora uma vulnerabilidade crítica zero-day em dispositivos Samsung Galaxy. Essa vulnerabilidade, identificada como CVE-2025-21042, reside na biblioteca de processamento de imagens da Samsung e permite que atacantes realizem operações de vigilância avançadas. O malware foi disseminado por meio de imagens maliciosas enviadas pelo WhatsApp, que aparentavam ser arquivos comuns, mas continham código malicioso embutido. Essa técnica de ataque é semelhante a cadeias de exploração observadas anteriormente em dispositivos iOS. O LANDFALL é capaz de gravar áudio, interceptar chamadas, rastrear localização e coletar dados pessoais, como fotos e mensagens. A campanha, que começou em meados de 2024, foi descoberta enquanto os pesquisadores investigavam uma cadeia de exploração paralela para iOS. A Samsung lançou um patch para a vulnerabilidade em abril de 2025, mas a campanha permaneceu ativa por meses, destacando a complexidade das operações de spyware comercial. A análise sugere conexões com atores de ameaças do Oriente Médio, especialmente com o grupo Stealth Falcon, conhecido por operar nos Emirados Árabes Unidos.

Um novo relatório revela que 94% das empresas do setor de manufatura estão utilizando aplicações de inteligência artificial generativa (genAI), enquanto enfrentam um aumento nas ameaças cibernéticas. A adoção acelerada de IA tem ampliado a superfície de ataque, com organizações compartilhando documentos técnicos sensíveis com plataformas de IA. Embora o uso de contas pessoais de genAI tenha diminuído, a utilização de soluções aprovadas pelas organizações aumentou, refletindo uma maior conscientização sobre os riscos de governança de dados. No entanto, 67% das empresas estão conectadas a APIs que podem ser vulneráveis a compromissos. Os canais de distribuição de malware estão se aproveitando de serviços de nuvem confiáveis, com o Microsoft OneDrive sendo a plataforma mais explorada, seguida pelo GitHub e Google Drive. As empresas estão implementando controles mais rigorosos, mas a mistura de dados corporativos e pessoais continua a representar riscos significativos. Especialistas em cibersegurança recomendam inspeção rigorosa de downloads e políticas robustas de prevenção de perda de dados para mitigar esses riscos.

O uso de gatonets, TV Boxes e serviços de streaming piratas apresenta riscos significativos para os usuários, que podem se tornar alvos de diversas ameaças cibernéticas. Esses dispositivos, frequentemente não regulamentados, podem conter malwares que permitem o controle remoto do aparelho, expondo dados pessoais e financeiros dos usuários. Além disso, a instalação de malwares como o Triada pode transformar esses dispositivos em botnets, que são utilizados para ataques de DDoS, sobrecarregando serviços online e comprometendo a segurança de redes inteiras. O roubo de dados é outra preocupação, pois hackers podem acessar informações sensíveis, possibilitando fraudes e golpes de phishing. Por fim, a disseminação de spam a partir desses aparelhos pode afetar não apenas o usuário, mas também terceiros, ampliando o alcance de atividades ilegais. Para se proteger, é essencial optar por dispositivos certificados pela Anatel e desconfiar de ofertas de streaming gratuitas que não respeitam a legislação vigente.

Uma nova campanha de engenharia social chamada ClickFix está utilizando vídeos maliciosos para induzir os usuários a se infectarem. Essa variante sofisticada imita o sistema de verificação de bots da Cloudflare com um realismo sem precedentes, apresentando um tutorial em vídeo que orienta as vítimas a executar comandos maliciosos. A página falsa de verificação inclui elementos de manipulação psicológica, como contadores em tempo real e instruções específicas para o sistema operacional da vítima. Em 90% dos casos observados, o código malicioso é copiado automaticamente para a área de transferência do usuário, exigindo apenas que a vítima cole e execute o comando. A campanha se destaca por direcionar usuários através do Google Search, ao invés de e-mails, com 80% das páginas ClickFix interceptadas acessadas via resultados de busca comprometidos. A evolução técnica inclui o uso de ‘cache smuggling’, que permite a execução local de arquivos maliciosos disfarçados como imagens JPG. A natureza auto-iniciada dos ataques ClickFix apresenta desafios únicos de detecção, pois a cópia do código ocorre dentro do sandbox do navegador, onde ferramentas de segurança tradicionais têm pouca visibilidade. Especialistas recomendam a implementação de capacidades de detecção baseadas em navegador para bloquear operações de cópia e colagem maliciosas antes da execução do payload.

Um ator de ameaças vinculado à China foi identificado como responsável por um ataque cibernético a uma organização sem fins lucrativos dos Estados Unidos, com o objetivo de estabelecer uma presença persistente na rede. O ataque, que ocorreu em abril de 2025, visou uma entidade envolvida na influência de políticas governamentais dos EUA sobre questões internacionais. Os invasores exploraram várias vulnerabilidades conhecidas, como CVE-2022-26134 (Atlassian) e CVE-2021-44228 (Apache Log4j), para obter acesso à rede. Após semanas de atividade, foram detectados comandos que testavam a conectividade e coletavam informações de configuração de rede. Os atacantes configuraram tarefas agendadas para garantir a persistência, utilizando um binário legítimo da Microsoft para executar um payload desconhecido. Além disso, foram observados componentes maliciosos relacionados a grupos de ameaças chineses conhecidos, como o Salt Typhoon. A análise sugere que os atacantes estavam interessados em comprometer controladores de domínio, o que poderia permitir a propagação do ataque em toda a rede. O relatório destaca a tendência de compartilhamento de ferramentas entre grupos de ameaças chineses, dificultando a atribuição precisa de atividades maliciosas.

Uma falha de segurança recentemente corrigida em dispositivos Android da Samsung foi explorada como um zero-day para implantar um spyware chamado LANDFALL em ataques direcionados no Oriente Médio. A vulnerabilidade, identificada como CVE-2025-21042, possui uma pontuação CVSS de 8.8 e permite que atacantes remotos executem código arbitrário. A falha foi corrigida pela Samsung em abril de 2025, após relatos de ataques em andamento. Os alvos estão localizados em países como Iraque, Irã, Turquia e Marrocos. O spyware LANDFALL, uma ferramenta de espionagem avançada, coleta dados sensíveis, como gravações de microfone, localização, fotos, contatos e mensagens. Os ataques foram realizados através do envio de imagens maliciosas via WhatsApp, utilizando arquivos DNG. Além disso, outra vulnerabilidade na mesma biblioteca foi identificada, mas não foi utilizada na campanha LANDFALL. A análise sugere que o spyware se comunica com um servidor de comando e controle para receber novas instruções. A origem do spyware ainda é desconhecida, mas há indícios de conexão com o grupo Stealth Falcon. Este caso destaca a complexidade das ameaças cibernéticas e a necessidade de vigilância contínua.

Uma pesquisa da Norton revelou que 73% dos pais brasileiros conversam frequentemente com seus filhos sobre cibersegurança, refletindo uma crescente preocupação com a segurança digital das crianças. O estudo, parte do Relatório Norton Cyber Safety Insights 2025, destaca que, apesar do acesso precoce à internet, muitos pais ainda não abordaram o tema, com 7% afirmando que pretendem iniciar esse diálogo. A pesquisa também revelou que 28% dos pais acreditam que seus filhos assistem a vídeos online, enquanto 24% pensam que estão nas redes sociais ou jogando. Para garantir uma experiência segura na internet, especialistas recomendam práticas como manter um diálogo aberto sobre as atividades online, limitar o tempo de tela, utilizar controles parentais e verificar aplicativos e sites antes do uso. Além disso, é essencial ensinar as crianças sobre a criação de senhas fortes e a importância da privacidade nas redes sociais. Essas medidas visam proteger as crianças de ameaças digitais, que se tornam cada vez mais comuns com o aumento do uso de dispositivos tecnológicos por jovens.

Um funcionário do Banco do Brasil foi preso pela Polícia Federal no Rio de Janeiro por roubar e vazar dados de clientes. A prisão ocorreu em flagrante em uma agência no Caju, onde o suspeito utilizava um software malicioso para coletar informações confidenciais. O Banco do Brasil informou que as investigações começaram após a detecção de irregularidades pela equipe interna da agência. O funcionário, cujo nome não foi divulgado, repassava os dados coletados para uma organização criminosa que aplicava golpes em correntistas em diversas localidades do país, permitindo transferências bancárias não autorizadas. Ele foi encaminhado ao sistema prisional e responderá por invasão de dispositivo informático e fraude eletrônica. A Polícia Federal continua a investigar outros envolvidos na quadrilha, que já causou prejuízos significativos a clientes do banco. Este incidente destaca a vulnerabilidade das instituições financeiras e a necessidade de medidas de segurança mais robustas para proteger informações sensíveis dos clientes.

O Escritório de Orçamento do Congresso (CBO) dos Estados Unidos foi alvo de um ataque cibernético realizado por um suposto ator de ameaça estrangeiro, resultando na exposição de dados confidenciais. O CBO, que atua como analista financeiro independente do Congresso, teve suas comunicações sensíveis entre os escritórios dos legisladores e a organização de pesquisa não partidária comprometidas. Essa violação levanta preocupações sobre a integridade das análises orçamentárias que influenciam a legislação federal americana. Embora a detecção do ataque tenha sido precoce, há receios de que e-mails internos e registros de chat tenham sido acessados antes da contenção. O incidente já causou interrupções operacionais, levando a vários escritórios do Congresso a suspender a correspondência por e-mail com o CBO, dificultando a análise orçamentária e a pontuação legislativa. O ataque ocorre em um momento de tensões partidárias elevadas, especialmente em relação às projeções de custo do CBO, que foram criticadas por republicanos. A natureza sofisticada do ataque sugere um interesse potencial de atores estatais nas operações do Congresso dos EUA e nas deliberações sobre políticas financeiras.

O ransomware Cephalus, identificado pela primeira vez em junho de 2025, representa uma nova e crescente ameaça no cenário de cibersegurança. Este grupo de atacantes, motivado financeiramente, utiliza táticas sofisticadas para invadir organizações e criptografar dados críticos. A principal vulnerabilidade explorada é a falta de autenticação multifatorial em credenciais do Protocolo de Área de Trabalho Remota (RDP), tornando as empresas alvos fáceis. Após obter acesso inicial, os atacantes realizam exfiltração de dados antes de implantar seu ransomware personalizado.

O Google Maps implementou uma nova funcionalidade que permite aos comerciantes reportarem tentativas de extorsão ligadas a avaliações falsas. Com o aumento de táticas de ‘review-bombing’, golpistas inundam perfis de empresas com avaliações negativas e, em seguida, contatam os proprietários exigindo pagamento para cessar a campanha de difamação. Essa prática prejudica a reputação de negócios legítimos, especialmente pequenos empreendimentos que dependem de avaliações para atrair clientes. O novo recurso de denúncia oferece um canal direto para que os comerciantes informem o Google sobre essas tentativas, permitindo uma investigação mais rápida e a remoção de conteúdo malicioso. O Google recomenda que os proprietários não interajam com os extorsionistas e preservem evidências, como capturas de tela e registros de comunicação, para fortalecer suas denúncias. Essa iniciativa visa não apenas proteger os negócios, mas também desmantelar redes de extorsão organizadas.

O LockBit 5.0, uma variante de ransomware como serviço (RaaS), foi analisado em um relatório técnico da Flashpoint, revelando um avanço significativo em suas capacidades. Lançado em setembro de 2025, o LockBit 5.0 apresenta uma arquitetura de implantação modular em duas etapas, projetada para maximizar a evasão de sistemas de detecção modernos. A primeira etapa atua como um carregador furtivo, utilizando técnicas de ofuscação de controle de fluxo e resolução dinâmica de APIs para evitar a detecção. O carregador também realiza a desativação de bibliotecas de segurança, permitindo que o payload seja injetado em processos sem acionar alertas de segurança.

O malware Herodotus, um novo trojan bancário para Android, está circulando como uma oferta de Malware-as-a-Service (MaaS), explorando engenharia social e abuso de permissões para contornar soluções de segurança tradicionais. Ele se espalha por campanhas de phishing via SMS, redirecionando as vítimas para páginas de download falsas, onde instalam o APK malicioso fora da Play Store oficial. Após a instalação e concessão de permissões críticas, o Herodotus assume o controle total do dispositivo, realizando operações bancárias não autorizadas enquanto os usuários estão logados em suas contas financeiras.

O artigo aborda o ciclo de comprometimento de credenciais, destacando como usuários, como Sarah do departamento de contabilidade, podem inadvertidamente entregar suas informações de login a cibercriminosos através de e-mails de phishing. O texto descreve as etapas desse ciclo, desde a criação de credenciais pelos usuários até a exploração ativa por hackers, que podem levar a roubo de dados e ataques de ransomware. Os vetores comuns de comprometimento incluem campanhas de phishing, reutilização de senhas e vazamentos de chaves de API. O impacto real de um comprometimento de credenciais pode ser devastador, resultando em invasões de contas, roubo de dados e aumento de custos operacionais. O artigo enfatiza a importância de ações proativas para detectar credenciais comprometidas, como o uso de ferramentas como o Credential Checker da Outpost24, que ajuda a identificar se as credenciais de uma empresa estão expostas em repositórios de vazamentos. A urgência em proteger as credenciais é destacada, considerando que muitas podem já estar comprometidas sem o conhecimento da organização.

Um conjunto de nove pacotes maliciosos do NuGet foi identificado como capaz de implantar cargas úteis com atraso para sabotar operações de banco de dados e corromper sistemas de controle industrial. Publicados entre 2023 e 2024 por um usuário identificado como ‘shanhai666’, esses pacotes foram baixados quase 9.500 vezes. O pacote mais perigoso, Sharp7Extend, visa controladores lógicos programáveis (PLCs) industriais, utilizando dois mecanismos de sabotagem: a terminação aleatória de processos e falhas silenciosas de gravação que ocorrem entre 30 a 90 minutos após a instalação. Os pacotes maliciosos foram projetados para ativar códigos maliciosos em datas específicas, em 2027 e 2028, dificultando a resposta a incidentes e a investigação forense. A análise do código-fonte sugere que o autor pode ter origem chinesa, e a combinação de técnicas sofisticadas torna este ataque uma preocupação significativa para desenvolvedores e empresas que utilizam essas bibliotecas. A remoção dos pacotes do NuGet não elimina o risco, pois muitos desenvolvedores podem não estar cientes da introdução do malware em seus projetos.

Durante o Seattle Security Campus Tour, a Microsoft apresentou sua visão sobre como a inteligência artificial (IA) e a colaboração global estão moldando o futuro da segurança digital. Frank X. Shaw, Diretor de Comunicação Global da Microsoft, destacou que a confiança é fundamental para a inovação, introduzindo o Secure Future Initiative (SFI), um programa que orienta o desenvolvimento de produtos e a resposta a incidentes. Vasu Jakkal, vice-presidente corporativa de Segurança, enfatizou que a segurança deve ser parte integrante de todos os processos da empresa, processando diariamente mais de 100 trilhões de sinais de segurança. A automação na detecção de falhas humanas foi exemplificada por um incidente em que um token interno foi exposto no GitHub, gerando um alerta imediato. Tori Westerhoff, do Red Team de IA, revelou que sua equipe simula ataques aos modelos de IA da Microsoft, explorando vulnerabilidades e comportamentos inesperados. Por fim, Herain Oberoi apresentou uma plataforma de defesa integrada que utiliza IA para proteger dados e identidades, ressaltando a importância do equilíbrio entre autonomia da IA e responsabilidade humana. A segurança, segundo os executivos, não é apenas um produto, mas a base para inovação e liberdade digital.

Durante o Microsoft Security Campus Tour, a Digital Crimes Unit (DCU) da Microsoft foi apresentada como um núcleo global dedicado à investigação de crimes digitais. Sob a liderança de Steve Masada, a equipe atua em três frentes principais: interromper infraestruturas criminosas, fornecer suporte jurídico e orientar empresas e governos em resposta a incidentes. A DCU monitora centenas de grupos de hackers e analisa bilhões de sinais de segurança diariamente, utilizando dados de produtos como Windows e Azure para agir de forma preventiva. Além disso, a equipe realiza simulações de crise cibernética para preparar empresas para possíveis ataques. Richard Domingues Boscovich, advogado sênior da DCU, destacou um caso recente de uso indevido de inteligência artificial generativa, onde imagens difamatórias foram criadas e disseminadas. A investigação levou à identificação dos responsáveis e à aplicação de ações legais. A DCU busca neutralizar o ecossistema criminoso e tornar o cibercrime mais difícil e caro. A abordagem da Microsoft enfatiza a antecipação de ameaças e a utilização de tecnologia como ferramenta de defesa, consolidando a segurança digital como um pilar essencial da inovação.

Em julho de 2025, a empresa de cibersegurança Doctor Web foi acionada por uma organização estatal russa devido a atividades suspeitas de spam originadas de seus e-mails internos. Uma investigação forense revelou que a organização foi alvo de uma campanha de ciberespionagem sofisticada pelo grupo de hackers conhecido como Cavalry Werewolf. Os atacantes utilizaram anexos de phishing com variantes de malware para infiltrar a rede governamental e coletar dados sensíveis, incluindo documentos internos e detalhes de configuração da rede. O malware principal, BackDoor.ShellNET.1, estabeleceu conexões de shell reverso com servidores remotos, permitindo a execução de comandos. Após garantir o acesso, os invasores baixaram cargas adicionais usando ferramentas legítimas do sistema, como BITSADMIN, para escalar a intrusão e estabelecer persistência. A investigação revelou um vasto arsenal de ferramentas utilizadas, incluindo trojans e backdoors que permitiram a execução remota de comandos e movimentação lateral na rede. O grupo Cavalry Werewolf também se destacou pelo uso de comunicação externa e backdoors controlados via Telegram, mantendo acesso prolongado à rede comprometida. A análise mapeou as técnicas utilizadas ao framework MITRE ATT&CK, destacando a gravidade e a complexidade do ataque.

Um recente ataque a uma organização sem fins lucrativos nos Estados Unidos revelou um foco renovado de grupos de hackers alinhados ao Estado chinês em entidades que influenciam a política do governo americano. O ataque, que ocorreu ao longo de várias semanas em abril de 2025, destacou as táticas avançadas utilizadas por esses grupos, como APT41 e Kelp, que empregaram uma variedade de métodos para comprometer servidores vulneráveis. Os hackers utilizaram explorações conhecidas, como a injeção OGNL da Atlassian e a vulnerabilidade Log4j, para identificar e invadir sistemas.

Uma nova campanha de malware, composta por LeakyInjector e LeakyStealer, foi descoberta, visando roubar ativos em criptomoedas e dados de navegação dos usuários. O LeakyInjector, um executável de 64 bits assinado com um certificado digital válido, consegue contornar a segurança ao ser executado. Ele injeta o LeakyStealer na memória, que utiliza criptografia ChaCha20 para proteger seu código. O LeakyStealer estabelece persistência no sistema e coleta informações como nomes de usuário e dados de domínios, conectando-se a um servidor de comando e controle (C2) para exfiltrar dados. O malware também possui um motor polimórfico que dificulta a detecção estática, alterando bytes de memória durante a execução. Ele busca por carteiras de criptomoedas populares e extensões de navegadores, além de exfiltrar o histórico de navegação de vários navegadores. A campanha é considerada sofisticada, com um uso abusivo de assinatura de código e mecanismos furtivos de exfiltração, exigindo atenção imediata das equipes de resposta a incidentes.

Pesquisadores de cibersegurança da Sekoia identificaram uma campanha de phishing sofisticada que visa clientes da indústria de hospitalidade em todo o mundo, utilizando contas de hotéis comprometidas do Booking.com. Os atacantes exploram dados de clientes roubados, como identificadores pessoais e detalhes de reservas, para realizar fraudes bancárias altamente credíveis desde abril de 2025.

A metodologia do ataque é de múltiplas etapas, começando com e-mails maliciosos enviados a administradores de hotéis a partir de contas de e-mail corporativas comprometidas. Esses e-mails imitam comunicações do Booking.com, com linhas de assunto que mencionam solicitações de clientes e códigos de rastreamento, enganando os destinatários. Os links contidos nos e-mails redirecionam as vítimas para páginas falsas que imitam o Booking.com, onde são induzidas a executar comandos do PowerShell disfarçados, resultando na instalação do malware PureRAT em seus sistemas.

Pesquisadores de cibersegurança identificaram uma extensão maliciosa para o Visual Studio Code (VS Code) chamada ‘susvsex’, que possui capacidades básicas de ransomware. Criada com auxílio de inteligência artificial, a extensão foi carregada em 5 de novembro de 2025, e não esconde suas funcionalidades maliciosas. Ao ser ativada, ela compacta, faz upload e criptografa arquivos de diretórios específicos do sistema operacional, como C:\Users\Public\testing no Windows e /tmp/testing no macOS. A Microsoft removeu a extensão do Marketplace do VS Code no dia seguinte à sua descoberta. Além da criptografia, a extensão utiliza um repositório privado no GitHub como canal de comando e controle (C2), onde busca novas instruções. O desenvolvedor, que se apresenta como residente de Baku, Azerbaijão, deixou evidências que podem facilitar a exploração por outros atacantes. Em um incidente separado, 17 pacotes npm foram encontrados disfarçados como kits de desenvolvimento, mas que executam o infostealer Vidar em sistemas infectados. Esses pacotes foram baixados mais de 2.240 vezes antes de serem removidos, destacando a necessidade de vigilância constante na cadeia de suprimentos de software.

Um estudo do Projeto Brief revelou que o ecossistema da Meta, que inclui Facebook, Instagram e WhatsApp, está veiculando anúncios fraudulentos que afetam principalmente famílias de baixa renda e beneficiários de programas sociais, como o Bolsa Família. A pesquisa analisou 16 mil anúncios ativos e encontrou que 52% deles apresentavam indícios de golpe, com 9% confirmados como fraudulentos. Os golpistas focam em oferecer empréstimos e créditos consignados, utilizando narrativas emocionais para atrair vítimas. A Meta, ao permitir esses anúncios, não apenas tolera a fraude, mas também lucra com os cliques, mesmo que estes levem a golpes. A pesquisa destaca a necessidade urgente de regulamentação, como o Digital Services Act da União Europeia, para responsabilizar as plataformas digitais. No Brasil, a Lei Geral de Proteção de Dados (LGPD) parece insuficiente para conter essas fraudes, que resultaram em prejuízos de mais de R$ 40 bilhões para 56 milhões de brasileiros em 2024. O relatório conclui que a falta de moderação eficaz nas plataformas contribui para a proliferação de fraudes digitais.

Uma vulnerabilidade crítica no Windows, identificada como CVE-2025-9491, tem sido explorada por cibercriminosos nos últimos oito anos, levantando preocupações sobre a segurança do sistema operacional. Essa falha, que afeta o processamento de arquivos LNK, permite que hackers disseminem malware, como trojans de acesso remoto, através de ataques de phishing. Recentemente, um grupo de cibercriminosos tem direcionado suas ações a diplomatas em países europeus, como Bélgica, Hungria e Itália, utilizando essa vulnerabilidade para espionagem digital. Apesar de a Microsoft ter sido informada sobre a falha, não há indícios de que a empresa esteja trabalhando em uma correção, o que gera incertezas sobre a segurança dos usuários. Enquanto isso, recomenda-se que os usuários permaneçam vigilantes quanto a e-mails suspeitos e evitem abrir arquivos LNK de remetentes desconhecidos. A situação é alarmante, especialmente considerando a crescente sofisticação dos ataques digitais e a necessidade de proteção robusta em um cenário de ameaças cibernéticas em evolução.

Uma operação conjunta da Polícia Civil do Distrito Federal e de São Paulo resultou na prisão de seis pessoas envolvidas no golpe do ‘falso advogado’, que já causou um prejuízo superior a R$ 8 milhões a cerca de 100 vítimas em diferentes estados brasileiros, incluindo São Paulo, Brasília e Minas Gerais. O golpe consiste na abordagem de criminosos que se passam por advogados, alegando que a vítima ganhou uma ação judicial e solicitando transferências bancárias urgentes para cobrir custos fictícios. A investigação, que durou seis meses, revelou que a quadrilha utilizava ferramentas tecnológicas para selecionar alvos e aplicar suas fraudes. Além disso, a Ordem dos Advogados do Brasil (OAB-RJ) entrou com uma ação civil contra a Meta, responsável pelo WhatsApp, devido a falhas na desativação de contas, que permitem que criminosos continuem utilizando perfis mesmo após o cancelamento do número. Para evitar cair nesse tipo de golpe, especialistas recomendam desconfiar de mensagens urgentes e verificar informações diretamente com órgãos oficiais antes de realizar qualquer pagamento.

Uma investigação recente revelou uma campanha cibernética que explora extensões maliciosas do Visual Studio Code (VS Code) para disseminar ransomware, utilizando repositórios do GitHub como parte de sua infraestrutura de comando e controle (C2). Os pesquisadores identificaram várias extensões no Marketplace do Visual Studio que continham cargas ocultas disfarçadas de utilitários legítimos para desenvolvedores. Após a instalação, esses pacotes executavam JavaScript ofuscado que lançava comandos do PowerShell. Os scripts maliciosos recuperavam cargas secundárias de repositórios do GitHub sob contas aparentemente benignas.

Uma nova variante de ransomware, chamada Midnight, tem chamado a atenção da comunidade de segurança cibernética devido às suas vulnerabilidades. Identificada por pesquisadores da Gen, essa variante é semelhante ao ransomware Babuk, que se destacou em 2021. Midnight utiliza o cifrador de fluxo ChaCha20 para criptografar dados e RSA para proteger as chaves de criptografia, mas apresenta falhas que permitem a recuperação gratuita de arquivos. O ransomware normalmente adiciona as extensões ‘.Midnight’ ou ‘.endpoint’ aos arquivos comprometidos e impede a execução simultânea de múltiplas instâncias do processo de criptografia. Pesquisadores conseguiram explorar as fraquezas do Midnight, permitindo a recuperação de dados sem pagamento de resgate. Especialistas de segurança, como os da Avast e Norton, disponibilizaram um decryptor funcional que pode ser utilizado por vítimas, recomendando que o programa seja executado com privilégios administrativos. Apesar das falhas, a variante Midnight destaca uma tendência crescente entre desenvolvedores de ransomware em iterar sobre códigos vazados, como o do Babuk. Organizações são aconselhadas a manter backups offline e monitorar logs de sistema em busca de indicadores associados ao Midnight.

Um relatório da ESET revelou um aumento alarmante nas operações cibernéticas destrutivas contra a infraestrutura ucraniana, atribuídas ao grupo Sandworm, alinhado à Rússia. A campanha, que ocorreu entre abril e setembro de 2025, utilizou novas famílias de malware wiper, ZEROLOT e Sting, projetadas para causar interrupções em setores críticos como energia, logística e agricultura. Esses malwares sobrescrevem arquivos de sistema e dados, tornando as máquinas infectadas completamente inoperáveis. Os ataques foram frequentemente realizados através de anexos de spearphishing disfarçados de documentos financeiros legítimos, explorando canais de comunicação confiáveis entre parceiros da cadeia de suprimentos. A análise da ESET sugere que o objetivo principal era desestabilizar as exportações de grãos e a logística energética da Ucrânia, coincidindo com eventos de escalada regional. Além disso, a ESET observou uma colaboração entre diferentes grupos APT russos, indicando uma evolução preocupante na estratégia cibernética da Rússia, que agora combina espionagem com sabotagem econômica. As campanhas de Sandworm foram detectadas e mitigadas pela ESET em sua base de clientes, destacando a necessidade de vigilância contínua e medidas de proteção em resposta a essas ameaças.

Pesquisadores da Equipe de Detecção e Resposta (DART) da Microsoft identificaram um novo malware chamado SesameOp, que utiliza a API Assistants da OpenAI como centro de comando e controle. Este malware foi detectado após uma série de ataques em julho de 2025 e é capaz de permanecer ativo em sistemas invadidos por meses, utilizando serviços em nuvem para comunicação. Os hackers enviam comandos criptografados à API, que os repassa ao malware, que por sua vez criptografa os dados roubados e os envia de volta. O SesameOp se destaca por não explorar vulnerabilidades da plataforma da OpenAI, mas sim por abusar de funcionalidades existentes. O malware é implementado através de um loader ofuscado e backdoor baseado em .NET, utilizando ferramentas do Microsoft Visual Studio para injeção. A Microsoft e a OpenAI estão colaborando nas investigações, que já resultaram na desativação de contas e chaves de API associadas aos cibercriminosos. Para mitigar riscos, recomenda-se que empresas auditem seus registros de firewall e monitorem atividades não autorizadas.

Uma falha crítica foi identificada no tema JobMonster do WordPress, que afeta mais de 5.500 sites. A vulnerabilidade, classificada como CVE-2025-5397, possui uma pontuação de gravidade de 9.8 e permite que hackers acessem contas de administrador sem a devida autenticação. A falha se torna explorável quando a função de login social está ativada, permitindo que invasores se façam passar por usuários legítimos. Para mitigar os riscos, é recomendado que os administradores atualizem imediatamente para a versão 4.8.2 do tema ou desativem a função de login social. Além disso, a autenticação em dois fatores e a troca de senhas são medidas essenciais para aumentar a segurança. A Wordfence, empresa de segurança, já registrou uma onda de ataques utilizando essa vulnerabilidade, o que destaca a necessidade urgente de ações corretivas. O WordPress tem enfrentado um aumento nas tentativas de exploração de suas vulnerabilidades, o que torna a situação ainda mais crítica para os usuários da plataforma.

A Amazon anunciou que começará a bloquear aplicativos instalados ilegalmente no Fire TV Stick, uma medida que visa combater a pirataria e proteger os usuários de ameaças digitais. O bloqueio será implementado inicialmente na Alemanha e na França, com planos de expansão global. A empresa justificou a ação como parte de um esforço contínuo para apoiar criadores de conteúdo e proteger consumidores, uma vez que aplicativos piratas podem ser fontes de malware e fraudes. Os usuários que tentarem acessar esses aplicativos receberão um alerta informando que o acesso não é permitido, seguido pelo bloqueio do aplicativo. A Amazon não especificou quais aplicativos serão afetados, mas garantiu que serviços legítimos como Netflix e Prime Video continuarão funcionando normalmente. Essa iniciativa também está alinhada com um acordo antipirataria da Alliance for Creativity and Entertainment (ACE). Além de combater a pirataria, a medida busca mitigar riscos de ciberataques, já que aplicativos não verificados podem facilitar o acesso de cibercriminosos aos dispositivos dos usuários.

Pesquisadores da Palo Alto Networks, através da Unidade 42, identificaram uma nova família de malware chamada Airstalk, que parece estar ligada a uma operação de um suposto estado-nação, classificada como CL-STA-1009. O malware, desenvolvido em PowerShell e .NET, foi utilizado em um ataque de cadeia de suprimentos, visando provedores de terceirização de processos de negócios (BPO) e serviços gerenciados. Airstalk explora a API de Gerenciamento de Dispositivos Móveis (MDM) do VMware AirWatch (atualmente Workspace ONE UEM) para estabelecer comunicações de comando e controle (C2) de forma discreta. Ao abusar de pontos finais legítimos do AirWatch, o malware consegue evitar a detecção e se camuflar no tráfego empresarial confiável. A variante em PowerShell utiliza atributos de dispositivos personalizados para trocar mensagens C2 criptografadas, enquanto a versão em .NET apresenta funcionalidades mais avançadas, como suporte a navegadores adicionais e múltiplas threads para tarefas de C2. Ambas as versões demonstram um design modular e em desenvolvimento contínuo, com a assinatura de um certificado digital possivelmente roubado, indicando características de operações de ameaças persistentes avançadas. A análise sugere que a campanha representa um risco significativo, especialmente para provedores de serviços terceirizados, que são vistos como alvos valiosos para compromissos de cadeia de suprimentos.

Em um ataque significativo ao ecossistema DeFi, a Check Point Research revelou que contratos do ComposableStablePool da Balancer V2 foram explorados em 3 de novembro de 2025, resultando no roubo de $128,64 milhões em menos de 30 minutos. Os atacantes aproveitaram uma falha sutil de precisão aritmética na lógica de invariantes da pool da Balancer, transformando um erro de arredondamento em uma cadeia de exploração catastrófica que contornou mecanismos de segurança padrão. A vulnerabilidade originou-se na função _upscaleArray, que escalava saldos de tokens durante o cálculo de invariantes. Ao manipular os saldos para a faixa microscópica de 8-9 wei, a lógica de divisão inteira do Solidity causou discrepâncias de arredondamento que poderiam chegar a dez por cento por operação. O ataque foi realizado em uma sequência de 65 operações de batchSwap, amplificando perdas de precisão em uma distorção total do valor D da pool. A análise on-chain vinculou a exploração a um contrato específico, e os atacantes conseguiram acumular ativos roubados dentro da camada de contabilidade do Vault da Balancer. Apesar de múltiplas auditorias, a falha sobreviveu devido ao foco da análise em transações únicas, em vez de desvios aritméticos cumulativos. Este evento destaca a importância da modelagem adversarial e do monitoramento contínuo de invariantes nas bibliotecas matemáticas do DeFi.

Recentemente, foram descobertas falhas críticas de execução remota de código na aplicação Claude Desktop, desenvolvida pela Anthropic, uma das principais empresas de inteligência artificial. Três extensões oficiais da plataforma, que somam mais de 350.000 downloads, apresentavam vulnerabilidades que permitiam ataques de injeção de comandos. Essas falhas poderiam ser exploradas durante interações normais com o Claude, permitindo que um simples questionamento do usuário resultasse em comprometimento total do sistema. A vulnerabilidade, classificada com um CVSS de 8.9, se origina de comandos não sanitizados, um erro de segurança conhecido há décadas. As extensões afetadas, que operam com permissões completas do sistema, não validavam a entrada do usuário, permitindo que códigos maliciosos fossem injetados. Embora a Anthropic tenha lançado patches para corrigir as falhas, a situação levanta preocupações sobre a segurança do ecossistema de extensões MCP, que está em rápida expansão. A falta de revisão de segurança em extensões criadas por desenvolvedores independentes, muitas vezes utilizando codificação assistida por IA, aumenta a superfície de ataque, tornando essencial que os usuários e administradores de sistemas compreendam as diferenças entre essas extensões e os complementos tradicionais de navegadores.

Um estudo recente da Comparitech revelou que as senhas mais comuns em 2025 incluem ‘123456’, ‘admin’ e ‘password’, com mais de 2 bilhões de senhas reais analisadas. A pesquisa destacou que 25% das 1.000 senhas mais usadas consistem apenas em números, e 38,6% contêm a sequência ‘123’. Além disso, 65,8% das senhas analisadas têm menos de 12 caracteres, o que as torna vulneráveis a ataques de força bruta. A combinação de números e palavras fracas, como ‘admin’ e ‘qwerty’, contribui para a fraqueza das senhas. Especialistas recomendam senhas com pelo menos 12 caracteres, misturando letras maiúsculas, minúsculas, números e símbolos. A pesquisa também enfatiza a importância de senhas únicas e a ativação da autenticação de dois fatores para proteger contas, mesmo que a senha seja comprometida. A análise foi baseada em dados de vazamentos de credenciais em fóruns de dados, com informações coletadas de forma a garantir a confidencialidade dos usuários.

A Bitdefender foi novamente reconhecida como um fornecedor representativo no Gartner® Market Guide para Managed Detection and Response (MDR), marcando sua quarta inclusão consecutiva. O Gartner destaca que, entre mais de 600 provedores globais de serviços MDR, apenas alguns atendem aos rigorosos critérios para figurar no guia. A Bitdefender se destaca por sua abordagem centrada no ser humano, oferecendo proteção de nível empresarial com gerenciamento proativo de exposição, especialmente para pequenas e médias empresas que não têm capacidade para manter Centros de Operações de Segurança (SOCs) completos. O serviço de MDR da Bitdefender combina tecnologias avançadas de detecção, inteligência global sobre ameaças e resposta liderada por especialistas, proporcionando monitoramento contínuo e investigação de ameaças. Isso resulta em detecções mais rápidas e maior confiança na resposta a ataques avançados, como ransomware. A crescente adoção de MDR é impulsionada pela sofisticação das ameaças cibernéticas e pela escassez de talentos em segurança. O relatório do Gartner também enfatiza a importância da pesquisa independente na escolha de provedores de MDR, com 64% dos profissionais de TI e segurança afirmando que avaliações de terceiros influenciam suas decisões de compra.

O cibercrime está se expandindo para além do ambiente digital, afetando diretamente o mundo físico e a economia global. Recentemente, foram descobertas falhas de segurança críticas no Windows Graphics Device Interface (GDI), que podem permitir a execução remota de código e a divulgação de informações. Essas vulnerabilidades, identificadas como CVE-2025-30388, CVE-2025-53766 e CVE-2025-47984, foram corrigidas pela Microsoft, mas ressaltam a dificuldade em garantir a segurança total de sistemas complexos. Além disso, três cidadãos chineses foram condenados em Cingapura por hackearem sites de jogos, demonstrando como grupos organizados utilizam ciberataques para fraudes e roubo de dados. A análise de malware também está se beneficiando da inteligência artificial, com ferramentas como o ChatGPT acelerando a triagem e análise de trojans sofisticados. Por fim, o Departamento de Segurança Interna dos EUA propôs novas regras para a coleta de dados biométricos em processos de imigração, o que pode ter implicações significativas para a privacidade e segurança de dados. Este cenário destaca a necessidade urgente de uma abordagem integrada de segurança cibernética que considere tanto as ameaças digitais quanto suas repercussões no mundo físico.

As instituições financeiras enfrentam uma nova realidade em cibersegurança, onde a ciber-resiliência se tornou uma exigência regulatória. Regulamentos como o DORA na UE e o CORIE na Austrália exigem que essas organizações realizem exercícios de gerenciamento de crise e simulações de incidentes cibernéticos. A complexidade da conformidade está na colaboração entre equipes técnicas e não técnicas, onde simulações de incidentes cibernéticos precisam ser integradas a exercícios de mesa. A ferramenta OpenAEV tem se destacado ao permitir a combinação de simulações técnicas e de comunicação humana, facilitando a preparação e execução de cenários de crise. Essa abordagem integrada não só melhora a eficiência logística, mas também permite que as equipes desenvolvam uma memória muscular para responder a crises reais. À medida que as regulamentações se tornam mais rigorosas, as instituições devem se adaptar rapidamente, realizando simulações frequentes e relevantes para garantir a conformidade e a resiliência operacional. O acesso a ferramentas como OpenAEV, que oferece uma biblioteca de cenários de ransomware e integrações técnicas, é crucial para fortalecer as defesas cibernéticas e a conformidade.

Um novo grupo de ameaças, identificado como InedibleOchotense, foi observado realizando ataques de phishing que se disfarçam como a empresa de cibersegurança ESET, visando entidades ucranianas. A campanha, detectada em maio de 2025, utiliza e-mails e mensagens no Signal para enviar links para um instalador trojanizado da ESET. O e-mail, escrito em ucraniano, contém um erro de tradução que sugere uma origem russa. O instalador malicioso não apenas entrega o ESET AV Remover legítimo, mas também uma variante de um backdoor chamado Kalambur, que utiliza a rede Tor para controle remoto. Além disso, o grupo Sandworm, associado à Rússia, continua a realizar ataques destrutivos na Ucrânia, utilizando malware de limpeza de dados. Outro ator, RomCom, também explorou uma vulnerabilidade do WinRAR para realizar campanhas de phishing, visando setores financeiros e de defesa na Europa e Canadá. Esses incidentes destacam a crescente complexidade e a interconexão das ameaças cibernéticas na região, com implicações diretas para a segurança de dados e operações de empresas que utilizam tecnologias amplamente adotadas, como as da ESET.

Pesquisadores de segurança da Tenable descobriram sete vulnerabilidades críticas nos modelos ChatGPT da OpenAI, que expõem milhões de usuários a ataques sofisticados sem necessidade de interação direta. Essas falhas permitem que agentes maliciosos roubem dados sensíveis e comprometam sistemas, levantando sérias questões sobre a segurança dos modelos de linguagem. As vulnerabilidades afetam tanto o GPT-5 quanto o ChatGPT-4, explorando fraquezas na forma como esses modelos processam dados externos e gerenciam informações do usuário. Um dos pontos mais preocupantes é a capacidade de contornar mecanismos de segurança do ChatGPT utilizando links de rastreamento do Bing, permitindo que atacantes exfiltratem dados do usuário de forma discreta. Além disso, a técnica de Injeção de Memória possibilita que instruções maliciosas sejam persistentes em várias conversas, vazando informações privadas sem que o usuário perceba. A pesquisa também identificou uma vulnerabilidade de renderização de markdown, que oculta conteúdos maliciosos, tornando os ataques praticamente invisíveis. Esses vetores de ataque representam uma ameaça significativa, especialmente para organizações que utilizam o ChatGPT em trabalhos sensíveis, exigindo uma resposta rápida da OpenAI para mitigar os riscos.