Cibersegurança

Vulnerabilidade no recurso de e-mail da Apple expõe dados de usuários

O recurso ‘Ocultar Meu E-mail’ da Apple, disponível para assinantes do iCloud+, apresenta uma vulnerabilidade que pode expor endereços de e-mail que deveriam ser protegidos. Identificado pela plataforma EasyOptOuts em junho de 2025, o problema persiste sem solução, mesmo após a Apple ter sido notificada. O recurso, que permite a criação de endereços de e-mail aleatórios para evitar a exposição do e-mail original, falhou em sua função principal, permitindo que, em testes realizados, o endereço original fosse acessado rapidamente. A Apple afirmou que está investigando a situação, mas até o momento não divulgou uma correção. Além disso, há planos para alterar o domínio dos endereços gerados de ‘@icloud.com’ para ‘@private.icloud.com’, o que pode impactar a eficácia do recurso. Essa situação levanta preocupações sobre a segurança dos dados dos usuários e a conformidade com a LGPD, especialmente considerando a popularidade dos serviços da Apple no Brasil.

Malware ChocoPoC ataca pesquisadores de cibersegurança via GitHub

Pesquisadores de segurança identificaram uma nova campanha de malware que utiliza exploits de prova de conceito (PoC) no GitHub para disseminar um trojan de acesso remoto (RAT) chamado ChocoPoC. Este malware se destaca por não estar embutido diretamente nos arquivos de exploit, mas sim por meio de pacotes Python maliciosos adicionados à lista de dependências do PoC. Os pacotes, hospedados no Python Package Index (PyPI), são instalados automaticamente quando a vítima clona um repositório malicioso. O ChocoPoC é capaz de executar comandos arbitrários, coletar dados sensíveis como senhas de navegadores e histórico de navegação, e até mesmo exfiltrar dados através de conjuntos de dados do Mapbox. A campanha já foi associada a pelo menos sete repositórios no GitHub, explorando vulnerabilidades conhecidas. A instalação do pacote malicioso ‘frint’ puxa uma dependência adicional chamada ‘skytext’, que contém um código Python embutido que baixa o payload final. Com mais de 2.400 downloads, a maioria em sistemas Linux, a campanha se aproveita da curiosidade de pesquisadores e testadores de segurança. Especialistas recomendam que esses profissionais nunca confiem cegamente em repositórios do GitHub e executem códigos não verificados em ambientes isolados.

Kubota revela acesso de hackers a dados de funcionários por um mês

A Kubota North America Corporation, fabricante japonesa de equipamentos agrícolas e de construção, revelou que hackers tiveram acesso a seus sistemas de rede por mais de um mês, entre 16 de março e 20 de abril deste ano. Durante esse período, informações pessoais de funcionários e seus dependentes foram comprometidas, incluindo nomes completos, números de Seguro Social, datas de nascimento, IDs de contribuinte, informações bancárias de depósito direto e dados de cartões corporativos. A empresa começou a notificar os afetados por e-mail a partir de 30 de junho, oferecendo orientações sobre como se inscrever em serviços de proteção de identidade. A Kubota também aconselhou os funcionários a monitorar declarações de saúde e contas bancárias, além de relatar atividades suspeitas às autoridades. Embora a empresa tenha implementado medidas de segurança adicionais para evitar futuros incidentes, até o momento, nenhum grupo de extorsão de dados ou gangue de ransomware assumiu a responsabilidade pelo ataque. A Kubota não relatou interrupções operacionais ou comerciais devido ao incidente.

Nova cadeia de ataque de malware usa engenharia social e Blogger

Pesquisadores de cibersegurança identificaram uma nova cadeia de ataque de malware em múltiplas etapas, chamada VEIL#DROP, que utiliza engenharia social e páginas do Blogger para disseminar um ladrão de informações conhecido como PureLogs. O ataque começa com um arquivo JavaScript disfarçado, que executa comandos PowerShell para baixar um payload adicional hospedado em um blog. Esse método permite que os atacantes contornem defesas baseadas em reputação, aproveitando a infraestrutura confiável do Google. O payload baixado cria a ilusão de que um documento PDF está sendo aberto, enquanto a infecção ocorre em segundo plano. O malware é projetado para ser altamente evasivo, utilizando técnicas como mutação em tempo de execução e geração dinâmica de estágios, dificultando a detecção por soluções antivírus tradicionais. Além disso, o uso de binários assinados pela Microsoft permite que os atacantes realizem suas atividades sem levantar suspeitas. A infecção pode ter consequências graves, permitindo que dados sensíveis sejam extraídos e utilizados para comprometer ainda mais o ambiente alvo. Essa combinação de técnicas demonstra um esforço deliberado para evitar a detecção e manter a furtividade durante todo o ciclo de infecção.

Ameaça de Malware Utiliza ScreenConnect para Distribuir AsyncRAT

Um novo ataque cibernético está utilizando a ferramenta de acesso remoto ScreenConnect para implantar o malware AsyncRAT. A Kaspersky identificou uma campanha massiva que distribui arquivos de instalação maliciosos disfarçados de softwares populares, como OBS Studio e Bandicam, em mais de 90 domínios falsificados em 10 idiomas, incluindo português. Esses arquivos maliciosos contêm um executável legítimo da Microsoft e uma biblioteca DLL maliciosa, que, ao serem carregados, ativam o serviço ScreenConnect. Isso permite que os atacantes mantenham controle sobre os dispositivos comprometidos, que podem incluir tanto usuários individuais quanto organizações. O malware realiza diversas ações, como desativar o Controle de Conta de Usuário e criar scripts que extraem e executam o módulo AsyncRAT. A conexão com um servidor remoto permite que os invasores monitorem atividades e roubem dados sensíveis. A persistência do malware é garantida por uma tarefa agendada que executa scripts a cada dois minutos, mesmo após reinicializações do sistema. A Kaspersky alerta que os atacantes utilizam técnicas de SEO para posicionar seus sites fraudulentos nos resultados de busca, aumentando a probabilidade de infecção.

Adolescente extraditado por envolvimento em grupo de hackers nos EUA

Um adolescente de 19 anos, Peter Stokes, foi extraditado da Finlândia para os Estados Unidos, onde enfrenta acusações de conspiração, invasão de computadores e fraude, conforme anunciado pelo Departamento de Justiça dos EUA. Stokes, que possui cidadania dupla dos EUA e Estônia, foi preso em abril sob um Aviso Vermelho da Interpol e compareceu a um tribunal federal em Chicago no dia 30 de junho, onde foi mantido sob custódia. Ele é acusado de fazer parte do grupo de hackers Scattered Spider, conhecido por ataques a cassinos, varejistas e companhias aéreas. O grupo utiliza engenharia social para obter acesso a sistemas, enganando funcionários de suporte técnico para que resetem senhas. Em um dos ataques, Stokes e outros invadiram uma joalheria de luxo, roubaram dados e exigiram um resgate de cerca de 8 milhões de dólares em criptomoeda. O caso de Stokes é parte de uma série de prisões relacionadas ao grupo, que já está associado a mais de 100 intrusões em redes, resultando em pagamentos de resgate superiores a 100 milhões de dólares. Especialistas em segurança alertam que a vulnerabilidade principal reside nos serviços de suporte técnico, e recomendações incluem a implementação de verificações de identidade mais rigorosas.

Cibersegurança 8 das organizações estão sem proteção contra phishing

Um estudo recente revela que cerca de 3,4 bilhões de e-mails de phishing são enviados diariamente, com 90% dos ataques cibernéticos bem-sucedidos originando-se desses e-mails. A análise de 5.849 domínios em 13 setores mostrou que mais de 8% das organizações não possuem nenhuma medida de proteção, como SPF, DMARC, DKIM ou MTA-STS. O setor público, especialmente agências governamentais, apresentou o pior desempenho, com uma média de 2,73 pontos e 27% dos domínios desprotegidos. Em contraste, empresas de tecnologia se destacaram com uma média de 4,83 pontos e apenas 2% de domínios sem proteção. Entre os países, a China teve a pior média (2,3), enquanto os Países Baixos lideraram com 5,51. A pesquisa destaca a necessidade urgente de melhorias na segurança de e-mails, especialmente em setores críticos como governo e saúde, onde a falta de proteção pode resultar em consequências graves.

Rede de Saúde do Colorado confirma vazamento de dados de 68 mil pessoas

O Colorado Health Network (CHN) notificou 68.212 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de cartões de crédito e débito, informações financeiras e médicas, como prescrições e dados de seguro saúde. O ataque foi reivindicado pelo grupo cibercriminoso Cephalus, que alegou ter roubado 900 GB de dados da organização. O CHN descobriu a violação em 29 de julho de 2025, mas só começou a notificar as vítimas quase 11 meses depois, em 18 de junho de 2026. O grupo Cephalus, ativo por um curto período, também foi responsável por outros ataques de ransomware, afetando diversas organizações de saúde nos EUA. Os ataques de ransomware têm se tornado uma preocupação crescente, com 148 incidentes confirmados em 2025, resultando em mais de 14,1 milhões de registros pessoais comprometidos. O CHN, que atende mais de 5.000 clientes afetados pelo HIV, não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas do vazamento.

Mais de 900 instâncias do Oracle E-Business Suite expostas online

Mais de 900 instâncias do Oracle E-Business Suite (EBS) foram encontradas expostas na internet, em meio a ataques que exploram uma vulnerabilidade crítica identificada como CVE-2026-46817. Essa falha, localizada no componente de Transmissão de Arquivos do produto Oracle Payments, permite que atacantes sem privilégios e com acesso à rede HTTP assumam o controle de sistemas vulneráveis por meio de ataques de baixa complexidade. A Oracle já lançou atualizações de segurança para corrigir essa vulnerabilidade em seu patch de segurança crítico de maio de 2026 e pediu aos clientes que atualizem seus sistemas imediatamente. Embora a empresa ainda não tenha confirmado a exploração ativa dessa falha, a empresa de inteligência de ameaças Defused alertou que os atacantes estão, de fato, explorando essa vulnerabilidade, com os primeiros relatos de tentativas ocorrendo no último fim de semana. Além disso, a Shadowserver, um observatório de segurança na internet, identificou cerca de 950 instâncias do Oracle EBS expostas online, mas não há informações sobre quantas delas foram protegidas contra os ataques relacionados ao CVE-2026-46817. A situação é preocupante, especialmente considerando que a CISA já havia alertado sobre outras vulnerabilidades críticas da Oracle que estão sendo ativamente exploradas.

Inteligência de Ameaças Cibernéticas Enriquecimento com Criminal IP

A inteligência de ameaças cibernéticas ganha valor quando os indicadores são enriquecidos com contexto que apoia investigações e decisões. A integração entre Criminal IP e OpenCTI permite que equipes de segurança transformem endereços IP, domínios e URLs em inteligência estruturada dentro do gráfico de conhecimento do OpenCTI. Essa integração enriquece automaticamente os indicadores com dados como pontuação de reputação, inteligência de infraestrutura e análise de phishing.

Um dos destaques é a pontuação de risco contextual, que oferece uma visão mais detalhada do comportamento de um IP, permitindo que analistas priorizem indicadores de alto risco. Além disso, a inteligência de infraestrutura é estruturada em entidades e relacionamentos, facilitando a investigação de componentes compartilhados e a identificação de superfícies de ataque potenciais.

Campanha de ataque a senhas atinge 81 milhões de tentativas em Microsoft 365

Uma intensa campanha de ataque de password-spraying direcionada a ambientes Microsoft 365 resultou em mais de 81 milhões de tentativas de login em um período de duas semanas. Os atacantes tentaram autenticar-se utilizando combinações de nomes de usuário e senhas que foram expostas em brechas anteriores. O ataque foi realizado através da interface de linha de comando do Azure da Microsoft, que permite a administração de recursos em nuvem. Ao encontrar uma combinação válida, os hackers conseguiram autenticar-se usando o mecanismo OAuth ROPC (Resource Owner Password Credentials), contornando a autenticação multifator (MFA) em muitos casos devido a políticas de Acesso Condicional inseguras. A empresa de cibersegurança Huntress monitorou a campanha entre 12 e 26 de junho, confirmando que 78 contas Microsoft foram comprometidas em 64 organizações. Apesar de muitas dessas empresas terem implementado MFA, a configuração não cobria o fluxo específico utilizado pelos atacantes. A Huntress observou um aumento de mais de 155 vezes nos ataques de password-spraying, com uma média de 1.964 tentativas de login falhadas por inquilino a cada mês. O ataque teve seu pico em 22 de junho e, embora a origem do ataque seja desconhecida, foi identificado um intervalo IPv6 pertencente à LSHIY LLC.

Automatizando a segurança de e-mails com IA comportamental

Nos últimos anos, as organizações têm utilizado gateways de e-mail seguros e detecções baseadas em assinaturas para combater ataques de phishing. Contudo, as ameaças atuais exploram identidades confiáveis e fluxos de trabalho legítimos, tornando-se mais difíceis de detectar. Um webinar programado para 8 de julho de 2026, apresentado por Dan Nickolaisen da Abnormal AI e Eric Danneker da Novant Health, abordará como a IA comportamental pode ajudar as equipes de segurança a automatizar a detecção, investigação e remediação de ataques modernos, como phishing, comprometimento de e-mail corporativo (BEC) e tomada de conta (ATO).

DHS investiga ataque cibernético à rede de informações de segurança

O Departamento de Segurança Interna dos EUA (DHS) está investigando um ataque cibernético que comprometeu a Homeland Security Information Network (HSIN), uma plataforma sensível de compartilhamento de informações utilizada por parceiros do governo e do setor privado. O ataque, realizado por um ator de ameaça desconhecido, ocorreu entre o final de maio e início de junho de 2023. A investigação ainda não atribuiu a responsabilidade a nenhum ator específico ou governo estrangeiro, e não está claro se documentos foram roubados do sistema. Os invasores miraram servidores do HSIN e um sistema SharePoint usado para colaboração. O HSIN é crucial para a comunicação em tempo real e a gestão de incidentes, especialmente em um momento em que os EUA estão supervisionando a segurança de eventos como a Copa do Mundo. O DHS confirmou que sistemas classificados não foram afetados e que ações imediatas foram tomadas para isolar os sistemas comprometidos e mitigar a vulnerabilidade. Este incidente segue um problema anterior em 2023, onde uma configuração inadequada expôs dados restritos dentro do HSIN-Intel, a seção de inteligência da plataforma.

Novo ransomware utiliza IA para atacar navegadores em Windows e Android

Pesquisadores de cibersegurança identificaram um novo artefato de malware que utiliza a tecnologia DeepSeek para criar um caminho de ataque inovador, combinando conceitos teóricos de ransomware em navegadores com capacidades reais. Este ataque, documentado pela primeira vez, ocorre inteiramente dentro do navegador, afetando dispositivos Windows e Android. O malware, denominado InfernoGrabber v9.0, é uma aplicação Python Flask que opera como um servidor web malicioso, atraindo vítimas com um falso aprimorador de avatar do Discord. Ele realiza uma série de ações prejudiciais, como roubo de tokens do Discord, números de cartões de crédito e frases-semente de criptomoedas, além de capturar feeds de webcam e microfone. O ataque utiliza uma técnica de ransomware que não requer a instalação de um payload nativo, explorando vulnerabilidades do navegador. A pesquisa destaca que a IA está redefinindo o cenário de ameaças cibernéticas, permitindo que atores maliciosos desenvolvam malware com menos expertise técnica. A abordagem é limitada a navegadores que expõem a API de Acesso ao Sistema de Arquivos, como o Google Chrome. Embora não haja evidências de que essa técnica tenha sido utilizada em campanhas reais, a descoberta representa uma mudança significativa na forma como ataques cibernéticos podem ser concebidos e executados.

Vulnerabilidade crítica no Progress Kemp LoadMaster em exploração ativa

Uma falha de segurança crítica no Progress Kemp LoadMaster, identificada como CVE-2026-8037, está sendo ativamente explorada, conforme um alerta da unidade de resposta a ameaças da eSentire. Com uma pontuação CVSS de 9.6, essa vulnerabilidade de injeção de comando do sistema operacional permite que atacantes não autenticados executem comandos arbitrários em dispositivos vulneráveis. A exploração começou em 29 de junho de 2026, e a falha está relacionada a um problema na função ’escape_quotes()’, que não trata adequadamente a entrada do usuário, resultando em leitura fora dos limites da memória. Embora as tentativas de exploração observadas até agora tenham falhado, a disponibilidade de um exploit de prova de conceito (PoC) pode aumentar a atividade maliciosa em breve. A Progress alertou que a falha permite que atacantes manipulem a memória do heap ao enviar solicitações especialmente elaboradas para o endpoint ‘/accessv2’. Essa é a segunda vulnerabilidade crítica do LoadMaster a ser explorada ativamente, após a CVE-2024-1212, que tinha uma pontuação CVSS de 10.0.

Vulnerabilidades no Editor de Código AI Cursor Podem Comprometer Sistemas

Duas vulnerabilidades críticas, conhecidas como DuneSlide, foram descobertas no editor de código AI Cursor, permitindo que comandos maliciosos sejam executados fora do ambiente seguro do software. Identificadas como CVE-2026-50548 e CVE-2026-50549, ambas têm uma pontuação de 9.8 em 10 no sistema de avaliação de vulnerabilidades. O ataque ocorre através de injeção de comandos em prompts aparentemente inofensivos, que podem ser incorporados em serviços conectados. Uma vez que o ambiente seguro é comprometido, o invasor pode executar comandos diretamente no computador do desenvolvedor, potencialmente acessando dados em nuvens ou serviços SaaS. A atualização para a versão 3.0 do Cursor, lançada em 2 de abril, já corrige essas falhas, e é recomendada para todos os usuários, especialmente considerando que mais da metade das empresas da Fortune 500 utiliza essa ferramenta. Embora a Cato AI Labs, responsável pela descoberta, não tenha encontrado evidências de exploração ativa, a situação destaca a necessidade de vigilância contínua em relação a vulnerabilidades em ferramentas de desenvolvimento amplamente utilizadas.

Trojan bancário brasileiro Ousaban ataca usuários na Espanha e Portugal

O trojan bancário brasileiro Ousaban está direcionando ataques a usuários do Windows que realizam transações bancárias na Espanha e em Portugal. Identificado pelo Fortinet’s FortiGuard Labs em maio de 2026, o ataque começa com um PDF de phishing disfarçado como um arquivo corrompido. Ao abrir o PDF, a vítima é induzida a clicar em um botão de ‘Atualizar’, que a redireciona para uma página maliciosa. Ousaban utiliza técnicas de geofencing para garantir que apenas usuários localizados em Espanha ou Portugal sejam afetados, bloqueando acessos de VPNs e ferramentas de segurança automatizadas. Uma vez instalado, o malware monitora mais de duas dezenas de bancos, incluindo Banco Santander e BBVA, capturando capturas de tela, teclas digitadas e manipulando a área de transferência para roubar credenciais bancárias. Ousaban é parte de um grupo de trojans brasileiros conhecidos como ‘Tetrade’, que têm um histórico de resiliência e adaptação. A detecção é dificultada por técnicas como esteganografia e a mudança diária de endereços de comando. O artigo alerta para a necessidade de cautela ao abrir PDFs ou e-mails suspeitos, especialmente aqueles que solicitam atualizações ou comandos para corrigir erros.

Nova ferramenta permite verificar se ofertas online são golpes

A Norton lançou uma nova funcionalidade chamada Genie, que permite aos usuários do assistente de IA Claude e do ChatGPT verificar a legitimidade de ofertas online e mensagens suspeitas. Essa ferramenta é uma extensão das capacidades de detecção de fraudes da Norton, que já estavam disponíveis para o ChatGPT desde março de 2023. O Genie utiliza uma inteligência de detecção em múltiplas camadas para analisar e-mails, mensagens de texto, links e imagens, identificando padrões de linguagem, táticas de engenharia social e tentativas de impostura. A ferramenta é acessível em todos os níveis de assinatura do Claude e visa ajudar os usuários a tomar decisões mais informadas e seguras ao interagir online. A Norton destaca que, em 2025, 90% das ameaças enfrentadas pelos consumidores eram provenientes de fraudes, phishing e anúncios falsos, o que torna a integração de ferramentas de segurança em assistentes de IA cada vez mais relevante. Com a crescente utilização de assistentes virtuais, a Norton busca oferecer inteligência de segurança cibernética confiável em tempo real, ajudando os usuários a evitar armadilhas online.

Amazon pagará US 2,25 milhões por bloqueio a vítimas de roubo de identidade

A Comissão Federal de Comércio dos EUA (FTC) anunciou que a Amazon pagará uma multa civil de US$ 2,25 milhões para resolver acusações de que bloqueou o acesso de vítimas de roubo de identidade a registros de transações fraudulentas. Segundo a denúncia apresentada ao Departamento de Justiça, a Amazon não forneceu a muitos consumidores afetados os registros de transações fraudulentas realizadas em seus nomes, conforme exigido pela Seção 609(e) da Lei de Relato Justo de Crédito (FCRA). Além disso, agentes de atendimento ao cliente da Amazon negaram pedidos de registros com base em razões de ‘privacidade’ ou ‘segurança’. Mesmo quando os registros foram compartilhados, isso ocorreu após o prazo de 30 dias estipulado pela FCRA. A FTC também destacou que a Amazon se recusou a fornecer registros a agências de aplicação da lei que haviam sido autorizadas a fazer tais solicitações. Como parte do acordo, a Amazon terá que garantir o acesso a registros solicitados legalmente dentro do prazo de 30 dias e notificar consumidores que solicitaram registros desde abril de 2024. Este caso se junta a outras multas que a Amazon enfrentou, incluindo uma de US$ 25 milhões por violar leis de privacidade infantil e outra de US$ 2,5 bilhões por práticas enganosas relacionadas ao seu programa de assinatura Prime.

Cibercriminosos exploram domínios inventados por IA para phishing

Um novo estudo da Palo Alto Networks revela uma técnica emergente chamada ‘phantom squatting’, onde cibercriminosos registram domínios fictícios gerados por modelos de linguagem de inteligência artificial (IA) antes que possam ser identificados como maliciosos. Esses domínios, que não têm reputação, são utilizados para criar páginas de phishing que enganam usuários que confiam em links gerados por IA. A pesquisa analisou 685.339 perguntas feitas a dois modelos de IA, resultando em 2,1 milhões de links, dos quais 13.229 foram identificados como maliciosos. O estudo destaca que, devido à falta de histórico de reputação, esses domínios recém-registrados não são bloqueados por sistemas de segurança até que seja tarde demais. Dois casos específicos mostraram como atacantes registraram domínios gerados por IA e criaram kits de phishing que imitam serviços legítimos, resultando em roubo de dados sensíveis. Essa nova abordagem de ataque representa um risco significativo, pois a confiança em links gerados por IA pode levar a consequências graves para usuários e organizações.

Anthropic lança Sonnet 5, modelo mais acessível e eficiente

A Anthropic anunciou o lançamento do Sonnet 5, um modelo de IA que promete ser quase tão eficaz quanto o modelo Opus 4.8, mas a um custo mais acessível. Em um post no blog, a empresa destacou que o Claude Sonnet 5 é ‘o modelo Sonnet mais agentic até agora’, com recursos avançados que incluem a capacidade de planejar e utilizar ferramentas como navegadores e terminais. Essas funcionalidades, anteriormente restritas ao Opus 4.8, agora estão disponíveis no Sonnet 5, que é considerado uma grande atualização para usuários que dependem do Claude para tarefas de codificação, pesquisa e automação. O modelo foi descrito por testadores como ‘muito mais agentic’ que seus antecessores, sendo capaz de verificar sua própria saída sem necessidade de instruções explícitas. O preço inicial do Sonnet 5 será de $2 por milhão de tokens de entrada e $10 por milhão de tokens de saída até 2026, o que representa uma opção mais econômica em comparação ao Opus 4.8. Essa mudança pode impactar significativamente o mercado de IA, especialmente para desenvolvedores que buscam soluções mais acessíveis sem comprometer a qualidade.

Anthropic libera modelos Fable 5 e Mythos 5 após controle de exportação

A Anthropic anunciou que o Departamento de Comércio dos EUA retirou os controles de exportação sobre seus modelos de inteligência artificial mais avançados, Fable 5 e Mythos 5. A partir de quarta-feira, o acesso ao Fable 5 será restaurado, enquanto o Mythos permanecerá restrito a empresas selecionadas. A empresa expressou gratidão aos usuários pela paciência e informou que está implementando um sistema de verificação de identidade (KYC) para alguns casos de uso, o que pode limitar o acesso a usuários que não completarem essa verificação. A Anthropic firmou parceria com a Persona Identities para esse processo, que exigirá a apresentação de um documento de identidade emitido pelo governo e uma selfie ao vivo. A empresa garante que os dados de verificação não serão utilizados para treinar seus modelos, mas apenas para confirmar a identidade dos usuários e atender a obrigações legais. Essa mudança levanta preocupações sobre a acessibilidade e a privacidade dos usuários, especialmente em regiões fora dos EUA.

ClickFix a nova ameaça de malware que engana usuários

O ClickFix, uma técnica de engenharia social que induz usuários a executar malware, evoluiu significativamente, utilizando servidores API para entregar comandos maliciosos disfarçados. A pesquisa do especialista em segurança Bert-Jan Pals revelou que as páginas fraudulentas, que simulam CAPTCHAs ou erros, agora extraem comandos de servidores backend, oferecendo a cada visitante um malware diferente. Essa abordagem, que evita a detecção por antivírus tradicionais, resultou em um aumento de 517% nos casos de acesso inicial entre 2024 e 2025, conforme medido pela ESET. Além disso, uma nova técnica permite que o malware seja baixado silenciosamente para a pasta de Downloads, utilizando um comando aparentemente inofensivo que contorna a varredura de scripts do Windows. O ClickFix não é mais uma ferramenta exclusiva de criminosos, tendo sido associado a grupos apoiados por estados, como APT28 e MuddyWater. A pesquisa destaca a importância de monitorar cadeias de processos e não apenas o texto da área de transferência para detectar essas ameaças. O ClickFix representa um risco crescente, especialmente com sua capacidade de se adaptar rapidamente às defesas dos usuários.

Ataque automatizado de spray de senhas compromete contas do Azure

Pesquisadores de cibersegurança alertaram sobre um ataque automatizado em larga escala, conhecido como ‘password spray’, direcionado à interface de linha de comando (CLI) do Azure da Microsoft. Entre 12 e 26 de junho de 2026, o atacante realizou mais de 81 milhões de tentativas de login, comprometendo pelo menos 78 contas de Microsoft em 64 organizações. O ataque se aproveitou de senhas comuns, utilizando uma técnica chamada Resource Owner Password Credentials (ROPC), que foi descontinuada no OAuth 2.1 e é incompatível com a autenticação multifator (MFA). Apesar de muitas das organizações afetadas terem políticas de Acesso Condicional (CAP) ativas, o uso do ROPC permitiu que os atacantes contornassem essas proteções. A maioria das contas comprometidas estava associada a empresas que não aplicavam MFA de forma abrangente, revelando falhas na configuração das políticas de segurança. Para mitigar esses riscos, recomenda-se que as organizações exijam MFA para todos os usuários e aplicativos em nuvem, além de restringir o acesso à CLI do Azure para usuários não administrativos.

Middletown, Ohio confirma vazamento de dados de 123 mil pessoas

A cidade de Middletown, Ohio, confirmou um vazamento de dados ocorrido em julho de 2025, afetando 123.791 pessoas. As informações comprometidas incluem números de Seguro Social, dados financeiros, informações médicas, dados de seguro de saúde e identificações emitidas pelo governo, como carteiras de motorista. O ataque cibernético, atribuído ao grupo de ransomware SafePay, causou a interrupção de serviços municipais, incluindo a cobrança de contas de água, que só foram totalmente restaurados em janeiro de 2026. O grupo SafePay, que utiliza um esquema de dupla extorsão, reivindicou a responsabilidade pelo ataque em setembro de 2025, embora a cidade não tenha confirmado essa alegação. A investigação forense revelou que os dados foram removidos da rede entre 29 de julho e 17 de agosto de 2025. Este incidente é um dos maiores ataques a entidades governamentais nos EUA em 2025, destacando a crescente ameaça de ransomware a serviços públicos e a necessidade urgente de medidas de segurança cibernética eficazes.

Campanha maliciosa ataca desenvolvedores de bots do Telegram com trojans

Desde novembro de 2025, uma campanha de cibersegurança tem como alvo desenvolvedores de bots do Telegram que utilizam forks trojanizados do Pyrogram, permitindo que atacantes leiam arquivos arbitrários em servidores comprometidos. O Pyrogram, um framework popular para a criação de bots, não é mais mantido, mas ainda conta com cerca de 350.000 downloads mensais. Pesquisadores da Checkmarx identificaram pelo menos oito pacotes maliciosos publicados no Python Package Index (PyPI), que incluem um backdoor ativado por módulos auxiliares ao importar o Pyrogram ou ao iniciar o bot. O backdoor, chamado secret.py, registra manipuladores de comandos ocultos no Telegram, permitindo que os atacantes executem código Python ou comandos de shell no servidor da vítima. Isso possibilita o acesso a dados sensíveis, como chats do Telegram e variáveis de ambiente. A campanha, denominada ‘Operação Navy Ghost’, é atribuída a um único ator de ameaças, evidenciado pela lista de ‘OWNERS’ codificada nos pacotes. Os desenvolvedores que possam ter instalado esses pacotes devem removê-los imediatamente e rotacionar todas as credenciais do servidor afetado.

Microsoft acelera plano de segurança quântica devido a novas ameaças

A Microsoft anunciou a aceleração de seu roadmap de segurança quântica, destacando que os avanços em computação quântica exigem a substituição dos padrões de criptografia atuais mais cedo do que o esperado. Embora os computadores quânticos de hoje não consigam quebrar a criptografia moderna, pesquisadores alertam sobre ataques do tipo ‘colher agora, decifrar depois’, onde dados criptografados são roubados e armazenados para serem decifrados no futuro. Para mitigar esses riscos, empresas como Apple, Google e Signal já estão integrando a criptografia pós-quântica (PQC) em seus sistemas. A Microsoft planeja migrar produtos e serviços críticos para a PQC até 2029, como parte de seu Programa de Segurança Quântica (QSP). A empresa enfatiza a necessidade de modernizar a infraestrutura das organizações antes de adotar novos algoritmos criptográficos, priorizando a atualização da criptografia de rede, a construção de ‘crypto-agility’ e a modernização das cadeias de confiança criptográficas. A Microsoft ainda não detalhou quais avanços específicos a levaram a acelerar seu plano, mas alerta que a chegada de computadores quânticos relevantes para a criptografia pode ocorrer mais cedo do que se pensava.

Novo ataque de injeção de prompt pode comprometer navegadores de IA

Um novo ataque de injeção de prompt, chamado ‘BioShocking’, foi identificado por pesquisadores da LayerX, que pode enganar navegadores baseados em IA, levando-os a tratar ações arriscadas do mundo real como parte de um cenário fictício. O ataque foi testado com sucesso em seis navegadores populares, incluindo o ChatGPT Atlas e o Claude Chrome plugin, com apenas um deles implementando uma correção após o relatório. O conceito de prova (PoC) envolveu um jogo de quebra-cabeça temático de BioShock, onde respostas erradas eram recompensadas, ensinando ao agente de controle do navegador que as regras normais não se aplicavam. Na etapa final do jogo, o agente foi instruído a acessar um repositório do GitHub e compartilhar dados sensíveis, como senhas. Os pesquisadores descobriram que os agentes de IA não conseguiam distinguir entre operações sensíveis do mundo real e cenários fictícios, resultando em falhas na identificação de ações que violavam suas diretrizes de segurança. A LayerX recomenda que os fornecedores implementem confirmações explícitas de ações sensíveis e verificações de contexto mais rigorosas. Os usuários também devem restringir o acesso de navegadores de IA a serviços sensíveis.

Nova família de malware RustDuck ataca roteadores e câmeras IP

Uma nova família de malware chamada RustDuck está comprometendo roteadores domésticos, câmeras IP, caixas Android e servidores mal protegidos, formando uma botnet destinada a realizar ataques de negação de serviço distribuída (DDoS). Pesquisadores da QiAnXin’s XLab monitoram essa ameaça desde fevereiro de 2026, destacando sua rápida evolução e a complexidade de suas técnicas de evasão. RustDuck se espalha por meio de senhas fracas, bugs não corrigidos e vulnerabilidades conhecidas em dispositivos, como CVE-2017-17215 e CVE-2025-29635. O malware é notável por ser reescrito em Rust, o que dificulta a análise e a desativação. Ele opera em duas etapas, começando com um carregador que descompacta um módulo central mais robusto. Além disso, RustDuck realiza verificações para evitar ser detectado em ambientes de pesquisa, utilizando criptografia avançada para suas comunicações. Embora atualmente seja uma botnet pequena, sua capacidade de adaptação e as técnicas que está testando podem representar uma ameaça crescente no futuro. Para mitigar os riscos, recomenda-se desativar interfaces de gerenciamento remoto, corrigir vulnerabilidades conhecidas e monitorar indicadores técnicos associados ao malware.

Pesquisas da Microsoft revelam riscos de agentes de IA na segurança

Uma nova pesquisa da Microsoft destaca como atacantes podem sequestrar agentes de inteligência artificial (IA) que atuam em nome dos usuários, utilizando descrições de ferramentas envenenadas para transferir dados corporativos para fora da empresa. O estudo, realizado pela equipe de resposta a incidentes da Microsoft, revela que esses agentes, como o Microsoft 365 Copilot, podem executar ações como enviar e-mails e acessar sistemas empresariais, tornando-se alvos mais vulneráveis. A técnica de injeção de comandos permite que um agente siga ordens ocultas disfarçadas em descrições de ferramentas, sem disparar alarmes, pois cada ação parece legítima. A pesquisa sugere que as empresas tratem cada ferramenta conectada como parte de sua cadeia de suprimentos, revisando descrições de ferramentas e implementando aprovações humanas para ações críticas. Com a crescente adoção de IA nas empresas, a segurança desses agentes se torna uma preocupação central, especialmente considerando que ataques semelhantes já foram documentados e têm uma taxa de sucesso alarmante.

Microsoft implementa política para bloquear bots em reuniões do Teams

A Microsoft anunciou uma nova política de administração para o Teams, permitindo que organizadores impeçam bots de terceiros de ingressar em reuniões sem aprovação. Essa funcionalidade, que estará disponível em diversas plataformas, visa aumentar a segurança e o controle sobre a participação de bots, que podem ser utilizados para tarefas automatizadas, como anotações e transcrições. Ao ativar a política, o Teams detecta automaticamente bots suspeitos, colocando-os na sala de espera e solicitando a confirmação do organizador para sua entrada. Mesmo em reuniões onde a entrada direta é permitida, bots identificados ainda precisarão de aprovação. Além disso, a Microsoft planeja implementar controles adicionais, como listas de permissão para bots aprovados e relatórios administrativos sobre a presença de bots. A partir de dezembro, administradores poderão bloquear usuários externos do Teams para evitar abusos por grupos de cibercrime, incluindo ataques de engenharia social. Essas medidas são parte de um esforço contínuo da Microsoft para proteger seus usuários contra ameaças emergentes, como fraudes e ataques de phishing, que têm se intensificado na plataforma.

Comprometimento de E-mail Empresarial Uma Ameaça Organizada

O Comprometimento de E-mail Empresarial (BEC) é frequentemente visto como um simples golpe de e-mail, mas na verdade, é parte de uma operação organizada complexa. Os atacantes não apenas enviam e-mails fraudulentos, mas também realizam um extenso reconhecimento da organização alvo, analisando processos de compras e acessando contas de e-mail corporativas. Pesquisas recentes indicam que o uso de inteligência artificial (IA) está se tornando comum, permitindo a criação de e-mails mais convincentes e personalizados, o que dificulta a detecção. Os alvos preferidos incluem contas de SaaS, especialmente do setor financeiro, onde os atacantes buscam informações sobre contas a receber e a pagar. Além disso, call centers são utilizados para pressionar as empresas a realizarem pagamentos fraudulentos. A monetização do BEC enfrenta desafios, pois os hackers precisam encontrar contas bancárias confiáveis para transferir os fundos. A análise das discussões em fóruns underground revela que os atacantes estão cada vez mais sofisticados, utilizando IA para melhorar a eficácia de suas campanhas. Para se proteger, as empresas devem treinar seus funcionários, especialmente aqueles em posições financeiras, e estar atentas a comunicações que possam parecer legítimas, mas que na verdade são fraudulentas.

Extensão maliciosa no Chrome coleta dados de navegação

Uma extensão maliciosa na Chrome Web Store, disfarçada como o motor de respostas Perplexity AI, está interceptando tráfego de busca e coletando informações de navegação dos usuários. Nomeada ‘Search for perplexity ai’, a extensão redireciona consultas de busca e sugestões em tempo real através de sua infraestrutura antes de levar os usuários aos serviços de busca legítimos. Pesquisadores da Microsoft Threat Intelligence afirmaram que, embora a extensão não tenha roubado credenciais ou informações sensíveis, suas permissões poderiam facilmente permitir isso se o operador decidisse ampliar o escopo do roubo de dados. A extensão falsa utiliza uma marca semelhante e um domínio diferente do oficial, alterando as configurações de busca do navegador para substituir o provedor de busca padrão. A coleta de dados não é acidental, conforme evidenciado pelo código de registro encontrado no servidor da extensão, que indica um design intencional. Os usuários que instalaram a extensão devem removê-la imediatamente e trocar suas senhas de contas críticas como precaução.

Ameaças cibernéticas na Copa do Mundo de 2026

O relatório da Check Point Research sobre a Copa do Mundo de 2026 revela um cenário alarmante de fraudes cibernéticas, com a infraestrutura de ataques já em funcionamento antes do início do torneio. Um em cada três parceiros oficiais da FIFA não possui proteção adequada contra a falsificação de domínios, permitindo que atacantes enviem e-mails fraudulentos que parecem vir de patrocinadores ou fornecedores. Além disso, houve um aumento de 60 vezes na detecção de aplicativos de apostas falsos em comparação com períodos anteriores, com operações coordenadas visando enganar os usuários. A pesquisa também identificou um aumento significativo na criação de sites de hotéis e viagens falsos, com 21,9% das inscrições ocorrendo apenas em abril de 2026, visando interceptar fãs no momento da compra. Esses dados destacam a necessidade urgente de monitoramento e proteção contra fraudes, especialmente em setores como serviços financeiros, transporte e hospitalidade, que estão sob risco elevado durante eventos globais.

Estudo revela falhas de segurança em aplicativos de chatbots AI no iPhone

Uma pesquisa realizada por acadêmicos da Wake Forest University analisou 444 aplicativos de chatbots de inteligência artificial para iPhone e descobriu que 282 deles, quase dois terços, expuseram acesso pago à IA através do tráfego de rede. As falhas incluíam chaves de API em texto claro, tokens reutilizáveis e servidores de backend que aceitavam solicitações sem qualquer chave de autenticação. Isso permite que qualquer pessoa que capture essas informações faça requisições em nome do desenvolvedor, gerando custos para este. Após três meses de notificação aos desenvolvedores, apenas 28% corrigiram as vulnerabilidades. As falhas foram observadas em pelo menos dez provedores de IA, com a OpenAI sendo a mais comum. O estudo destaca a gravidade do problema, já que as chaves expostas podem resultar em custos significativos, com estimativas de até $46.000 por dia em cobranças de IA. O estudo também sugere que os provedores de IA rotulem as chaves do lado do cliente como inseguras e que a Apple implemente verificações durante a revisão de aplicativos na App Store.

Vulnerabilidade em agentes de codificação de IA expõe riscos sérios

Um novo estudo da Adversa AI revelou uma vulnerabilidade crítica em agentes de codificação de IA, chamada GuardFall, que permite a execução de comandos maliciosos. Essa falha afeta dez dos onze agentes de código aberto testados, permitindo que comandos perigosos sejam executados com acesso total à conta do usuário. A vulnerabilidade ocorre porque os agentes verificam os comandos como texto simples, enquanto o bash os reescreve antes da execução, permitindo que comandos destrutivos sejam disfarçados. Por exemplo, um comando como ‘rm’ pode ser alterado para ‘r’’m’ e ainda assim ser executado. A pesquisa destaca que a única ferramenta que se defende adequadamente contra essa vulnerabilidade é o ‘Continue’, que analisa os comandos da mesma forma que o bash. Para mitigar os riscos, recomenda-se que os agentes sejam executados em pastas temporárias, que as flags de autoexecução sejam desativadas e que arquivos de configuração sejam tratados como código não confiável. A Adversa também menciona que essa descoberta se insere em um contexto mais amplo de vulnerabilidades semelhantes encontradas em outras ferramentas de codificação de IA.

Campanha de Extensões Maliciosas Roubando Criptomoedas em Navegadores

Pesquisadores de cibersegurança identificaram uma campanha ativa de extensões de navegador, chamada Silent Swap, que visa roubar criptomoedas ao substituir furtivamente endereços de carteiras durante transações. A campanha utiliza instaladores não assinados, observados em variantes .NET e Golang, que implantam uma extensão maliciosa disfarçada de um utilitário benigno chamado ‘Google Notes’. Essa extensão age como um clipper, interceptando e manipulando endereços de carteiras copiadas para a área de transferência, redirecionando os fundos para carteiras controladas por atacantes. A técnica EtherHiding é utilizada para atualizar detalhes do servidor de comando e controle (C2) através da blockchain, permitindo que os atacantes mudem facilmente o domínio sem precisar redeployar o malware. A instalação da extensão é feita de forma clandestina, alterando arquivos de configuração protegidos dos navegadores, como Chrome e Edge, e requer que o modo desenvolvedor esteja ativado, o que pode ser conseguido por meio de engenharia social. A campanha já afetou usuários em vários países, incluindo Brasil e Índia, e representa uma evolução nas táticas de roubo de criptomoedas, com um mapeamento de endereços por vítima sendo uma das inovações mais preocupantes.

Vulnerabilidade do Microsoft Defender é explorada por gangues de ransomware

A CISA confirmou que gangues de ransomware começaram a explorar uma vulnerabilidade crítica no Microsoft Defender, conhecida como BlueHammer (CVE-2026-33825). Essa falha, que permite a elevação de privilégios locais, foi divulgada por um pesquisador de segurança em abril de 2026, em protesto ao processo de divulgação da Microsoft. A vulnerabilidade permite que atacantes autorizados acessem o banco de dados Security Account Manager (SAM), que contém hashes de senhas, possibilitando a escalada para privilégios de SYSTEM e controle total do sistema alvo. Embora a Microsoft tenha corrigido a falha em 14 de abril, a CISA alertou que a vulnerabilidade já estava sendo explorada em ataques zero-day. A agência incluiu a BlueHammer em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais aplicassem patches rapidamente. A exploração dessa vulnerabilidade representa um vetor de ataque frequente para atores maliciosos, aumentando os riscos para a segurança cibernética, especialmente em ambientes federais. A situação é crítica, pois a falha já foi associada a campanhas de ransomware, destacando a necessidade de ações imediatas por parte das equipes de segurança.

Grupo de ransomware Blackfield exige US 2 milhões da Nidec Corporation

O grupo de ransomware Blackfield está exigindo um resgate de US$ 2 milhões da Nidec Corporation, uma importante fabricante japonesa de componentes eletrônicos. A Nidec, que possui uma receita anual de US$ 17,2 bilhões e opera em mais de 40 países, confirmou que sua subsidiária em Taiwan, a Nidec Chaun Choung Technology, foi alvo de um ataque de ransomware. O incidente, que ocorreu em 22 de junho de 2026, resultou em danos a parte do servidor da subsidiária, levando a empresa a tomar medidas emergenciais, como o desligamento do servidor afetado. Embora a Nidec tenha mencionado a possibilidade de vazamento de informações, não há confirmação de que dados pessoais ou confidenciais tenham sido expostos. O grupo Blackfield deu um prazo de mais de 15 dias para que a Nidec respondesse e negociasse, ameaçando publicar ou vender os dados supostamente roubados. O ataque anterior à Nidec ocorreu em outubro de 2024, quando sua divisão no Vietnã foi comprometida, expondo mais de 50.000 arquivos sensíveis. A situação destaca a crescente ameaça de ransomware às empresas globais, especialmente em setores críticos como o de tecnologia e automotivo.

Kali Linux 2026.2 é lançado com novas ferramentas e melhorias

A nova versão do Kali Linux, 2026.2, já está disponível para download e traz uma série de melhorias e novas ferramentas voltadas para profissionais de cibersegurança e hackers éticos. Entre as novidades, destacam-se a adição de nove novas ferramentas, como arsenal-ng, um repositório de cheat-sheets de cibersegurança, e shell-gpt, uma ferramenta de produtividade baseada em IA. Além disso, houve melhorias significativas na plataforma Kali NetHunter, que agora suporta mais dispositivos Android e inclui novas funcionalidades como suporte para kernels independentes e uma aba EvilTwin para criação de pontos de acesso Wi-Fi falsos.

Aflac revela nova violação de dados em sua subsidiária no Japão

A gigante de seguros americana Aflac anunciou uma nova violação de dados após um ataque cibernético que comprometeu os sistemas de sua subsidiária no Japão. Em um comunicado à Comissão de Valores Mobiliários dos EUA, a empresa informou que a intrusão ocorreu entre 15 e 25 de junho de 2026, resultando no acesso não autorizado a informações pessoais e bancárias de clientes. A Aflac Japão tomou medidas imediatas para conter o incidente, incluindo a suspensão de alguns sistemas, mas garantiu que continua a atender seus segurados. A empresa está colaborando com especialistas em cibersegurança para investigar a violação e já notificou as autoridades japonesas, além de planejar informar os indivíduos afetados. Embora a Aflac tenha afirmado que o incidente é restrito ao Japão, a gravidade da situação levanta preocupações sobre a segurança de dados em empresas de seguros, especialmente considerando um ataque anterior que afetou a Aflac no ano passado, que também envolveu informações sensíveis de clientes. O impacto total da violação ainda é desconhecido.

Técnica BioShocking compromete navegadores AI e expõe credenciais

A técnica BioShocking, desenvolvida pela empresa de segurança LayerX, demonstrou como navegadores e assistentes de inteligência artificial podem ser enganados a entregar credenciais de login dos usuários. O ataque foi testado em seis agentes, incluindo o ChatGPT Atlas da OpenAI e a extensão Claude da Anthropic. O método se baseia na injeção indireta de comandos, onde uma página maliciosa se apresenta como um jogo, levando o agente a seguir uma lógica de jogo em vez de uma lógica de segurança. O ataque começa com um quebra-cabeça que recompensa respostas incorretas, fazendo com que o agente aceite comandos disfarçados. No teste, um link para um repositório GitHub do usuário foi utilizado para extrair credenciais SSH, que foram enviadas ao atacante. A LayerX relatou a vulnerabilidade aos fornecedores entre outubro de 2025 e janeiro de 2026, mas as respostas foram variadas, com algumas empresas não tomando medidas adequadas. Para mitigar esse tipo de ataque, a LayerX sugere que os navegadores AI solicitem confirmação antes de acessar dados de contas logadas e que os usuários sejam cautelosos ao usar o modo agente, limitando o acesso a informações sensíveis.

Falha crítica de segurança no Oracle E-Business Suite em exploração ativa

Uma falha de segurança crítica, identificada como CVE-2026-46817, está sendo ativamente explorada em instâncias do Oracle E-Business Suite, especificamente no módulo Oracle Payments. Com uma pontuação CVSS de 9.8, essa vulnerabilidade permite que atacantes não autenticados, com acesso à rede via HTTP, comprometam o sistema. A falha afeta versões do software que vão da 12.2.3 até a 12.2.15. A Oracle já disponibilizou patches para corrigir a vulnerabilidade em sua atualização de segurança crítica no mês passado. No entanto, a Defused Cyber reportou que a exploração da falha já está em andamento, com observações de atividades maliciosas em honeypots do Oracle E-Business. Não há informações disponíveis sobre como a exploração está sendo realizada ou se faz parte de uma campanha maior. Essa situação é preocupante, especialmente considerando que uma falha semelhante foi utilizada por grupos de ransomware no passado. As organizações são aconselhadas a assumir que já podem ter sido comprometidas e a ativar seus processos de resposta a incidentes para avaliar o impacto antes da aplicação dos patches.

Apple lança atualizações de segurança para iOS e macOS contra falhas

A Apple divulgou, na última segunda-feira, atualizações de segurança para iOS, macOS e o navegador Safari, abordando mais de trinta falhas, incluindo quatro vulnerabilidades no WebKit, identificadas com o auxílio de ferramentas de inteligência artificial (IA) como Anthropic Claude e OpenAI Codex Security. As vulnerabilidades no WebKit incluem problemas de corrupção de memória e falhas de validação de entrada, que poderiam levar a travamentos inesperados do Safari ao processar conteúdo web malicioso. As falhas foram identificadas como CVE-2026-43707, CVE-2026-43716, CVE-2026-43745 e CVE-2026-43715, sendo que as três primeiras foram atribuídas ao OpenAI Codex Security e a última aos pesquisadores da Anthropic. Além disso, a Apple corrigiu três bugs que poderiam ser explorados por aplicativos maliciosos para vazar informações sensíveis do kernel. As atualizações estão disponíveis para as versões 26.5.2 do iOS, iPadOS, macOS Tahoe e Safari. A Apple destacou que está antecipando as atualizações de segurança em resposta ao aumento da capacidade da IA em acelerar o desenvolvimento de ferramentas de exploração, reduzindo o tempo entre a descoberta e a exploração das vulnerabilidades.

Grupo ShinyHunters ataca NAIC e vaza dados de seguros nos EUA

A Associação Nacional de Comissários de Seguros (NAIC) dos EUA confirmou que o grupo de extorsão ShinyHunters acessou seus sistemas explorando uma vulnerabilidade zero-day em um servidor Oracle PeopleSoft. O ataque, identificado em 11 de junho, resultou na divulgação de dados que, segundo a NAIC, eram em sua maioria informações já públicas, como relatórios financeiros e logs desatualizados. O grupo de hackers reivindicou a responsabilidade pelo ataque e vazou dados após a recusa da NAIC em pagar um resgate. A NAIC, por sua vez, afirmou que não houve exposição de informações pessoais identificáveis (PII) ou dados financeiros críticos, contestando as alegações do grupo de que plataformas regulatórias essenciais foram comprometidas. Apesar disso, o incidente causou interrupções operacionais, levando agências de classificação de crédito a suspender temporariamente o fornecimento de dados. O ShinyHunters alegou ter 3,1 TB de dados roubados, incluindo registros de clientes e arquivos de agências de classificação. A NAIC já remediou os sistemas afetados e está implementando defesas adicionais para evitar futuros ataques. Este incidente destaca a vulnerabilidade de sistemas amplamente utilizados e a necessidade de vigilância contínua em cibersegurança.

Nissan alerta sobre vazamento de dados de funcionários devido a ataque cibernético

A Nissan anunciou que sofreu uma violação de dados que afetou funcionários atuais e antigos, após a exploração de uma vulnerabilidade no Oracle PeopleSoft, associada ao grupo de extorsão ShinyHunters. Em notificações apresentadas ao Procurador-Geral da Califórnia, a empresa revelou que a vulnerabilidade permitiu que atacantes acessassem informações pessoais, incluindo dados bancários, números de segurança social e informações financeiras de centenas de empresas, com foco específico na Nissan. A investigação ainda está em andamento, mas a montadora acredita que os dados acessados incluem informações sensíveis de funcionários nos Estados Unidos, Canadá, México e Brasil. A Nissan já ativou sua resposta a incidentes, contratou especialistas em cibersegurança e está colaborando com a Oracle para mitigar os danos. Além disso, a empresa implementou medidas adicionais de segurança, como restrições de acesso a contracheques e monitoramento de crédito gratuito para os afetados. O ataque é parte de uma campanha maior que comprometeu mais de 300 instâncias do PeopleSoft em diversas organizações, conforme relatado pela Mandiant e pelo próprio grupo ShinyHunters.

Extensão maliciosa se disfarça de Perplexity e coleta dados de buscas

Recentemente, a Microsoft identificou uma extensão maliciosa do Chrome que se apresentava como o motor de busca de IA Perplexity. Nomeada ‘Search for perplexity ai’, a extensão logava silenciosamente as pesquisas dos usuários, redirecionando cada consulta através de um servidor controlado por atacantes antes de apresentar os resultados reais. A extensão utilizava um domínio semelhante ao verdadeiro, perplexity-ai[.]online, para enganar os usuários. Ao ser instalada, ela se tornava o mecanismo de busca padrão do navegador, interceptando não apenas as pesquisas, mas também cada caractere digitado na barra de endereços. Embora a Microsoft não tenha encontrado evidências de roubo de senhas, a extensão tinha acesso excessivo, coletando dados como endereços IP e cabeçalhos de navegador. Após a divulgação responsável, o Google removeu a extensão da loja. A Microsoft alerta que essa prática se alinha a um padrão crescente de extensões maliciosas que se aproveitam da marca de IA para capturar dados. Para mitigar riscos, recomenda-se que as empresas permitam apenas extensões aprovadas e monitorem alterações nas configurações de busca e permissões de extensões.

Hackers exploram vulnerabilidade crítica no SimpleHelp para implantar malware

Hackers estão aproveitando uma vulnerabilidade crítica (CVE-2026-48558) recentemente divulgada no SimpleHelp, uma plataforma utilizada para monitoramento e gerenciamento remoto, para implantar o Djinn Stealer, um malware de roubo de informações que atinge sistemas operacionais como Windows, macOS e Linux. A falha permite a criação de contas de técnico altamente privilegiadas sem autenticação, afetando cerca de 1.000 servidores expostos online. A empresa de segurança Blackpoint investigou um incidente onde um ator malicioso explorou essa vulnerabilidade para estabelecer uma sessão autenticada em um servidor SimpleHelp, utilizando o malware TaskWeaver para instalar o Djinn Stealer. Este último é projetado para coletar dados sensíveis, incluindo credenciais de ferramentas de desenvolvimento de IA, chaves SSH, e informações de carteiras de criptomoedas. Os pesquisadores alertam que a exploração ativa dessa vulnerabilidade deve levar os administradores de sistemas a priorizar atualizações e a invalidar sessões de técnicos não reconhecidas, além de rotacionar credenciais comprometidas.

Os novos desafios de segurança com a IA autônoma

O artigo de Itamar Apelblat, CEO da Token Security, destaca os desafios emergentes de segurança relacionados à adoção da inteligência artificial autônoma (IA). Diferente de serviços tradicionais, os agentes de IA atuam como atores digitais que podem autenticar, receber permissões e executar ações em ambientes de produção, o que levanta questões críticas sobre identidade e controle. A segurança tradicional, que se concentra em identidades humanas, falha em lidar com a complexidade dos agentes de IA, que podem operar de forma autônoma e em grande escala. O texto identifica três problemas principais: a falta de visibilidade sobre esses agentes, o acesso excessivo concedido a eles e a possibilidade de manipulação por atacantes. Para mitigar esses riscos, Apelblat sugere uma governança centrada na identidade, onde cada agente deve ter uma identidade distinta, acesso baseado em contexto e um ciclo de vida definido. A implementação de controles automatizados e a descentralização do controle são essenciais para permitir a inovação sem comprometer a segurança. O artigo conclui que a governança da IA autônoma deve ser uma prioridade imediata para as organizações, especialmente para os líderes de segurança da informação.

EUA oferecem até US 10 milhões por informações sobre hackers russos

O Departamento de Estado dos EUA anunciou uma recompensa de até US$ 10 milhões por informações que ajudem a identificar ou localizar membros dos grupos de hackers UNC5792 e UNC4221, associados aos serviços de inteligência e militares da Rússia. Essa iniciativa faz parte do programa ‘Rewards for Justice’ (RFJ), que visa combater atores estatais estrangeiros que realizam ciberataques contra a infraestrutura crítica dos EUA. O grupo UNC5792 é conhecido por suas campanhas de phishing direcionadas a contas do Signal e WhatsApp de oficiais do governo e militares dos EUA, enquanto o UNC4221 atua em nome das forças armadas russas. As autoridades americanas alertaram que os hackers estão se passando por agentes de suporte do Signal para enganar usuários e obter chaves de recuperação de dados. Embora as plataformas de comunicação não tenham sido comprometidas, os ataques têm sido eficazes em roubar dados privados. Os alvos típicos incluem oficiais do governo dos EUA e da OTAN, jornalistas e ONGs que apoiam a Ucrânia. O FBI e a CISA atualizaram recentemente um aviso sobre novas táticas observadas nesses ataques, destacando a importância de que os usuários verifiquem a autenticidade das comunicações recebidas.