Cibersegurança

Os ataques cibernéticos modernos estão se transformando, com a identidade se tornando o principal alvo dos criminosos. Em um cenário onde 75% das organizações enfrentaram incidentes relacionados a SaaS no último ano, a maioria envolvendo credenciais comprometidas, a segurança da identidade se torna crucial. Os atacantes utilizam inteligência artificial (IA) para imitar usuários legítimos, contornando controles de segurança e operando de forma discreta em ambientes confiáveis. A IA é empregada em várias etapas do ataque, desde a coleta de informações sobre funcionários até a geração de identidades sintéticas que dificultam a detecção. O uso de modelos de linguagem avançados permite que os criminosos criem campanhas de phishing mais sofisticadas e personalizadas. Além disso, a automação de processos de ataque, como a exploração de credenciais, torna as operações mais eficientes e direcionadas, aumentando a probabilidade de sucesso. Com a identidade se tornando a nova linha de defesa, as empresas precisam reavaliar suas estratégias de segurança para proteger dados críticos em plataformas SaaS.

À medida que nos aproximamos do final de 2025, dois fatos sobre a inteligência artificial (IA) são cruciais para os diretores de segurança da informação (CISOs). Primeiro, a maioria dos funcionários já utiliza ferramentas de IA generativa em suas atividades, mesmo que a empresa não forneça acesso ou proíba seu uso. Segundo, muitos desses funcionários já compartilharam informações internas e confidenciais com essas ferramentas. Um estudo da Microsoft revela que 75% dos trabalhadores do conhecimento estavam usando IA generativa em 2024, e 78% deles utilizavam ferramentas pessoais. Isso gera um aumento no ‘Access-Trust Gap’, que é a diferença entre aplicativos de negócios confiáveis e aqueles não gerenciados que acessam dados corporativos. Para mitigar riscos, as empresas precisam desenvolver um plano de habilitação de IA que inclua governança e controle de acesso. O artigo propõe seis perguntas essenciais para guiar essa elaboração, como quais casos de uso de IA são prioritários e quais ferramentas devem ser adotadas. A falta de governança pode resultar em violações de políticas e consequências legais. Portanto, é fundamental que as empresas adotem uma abordagem proativa e contínua para a governança da IA, garantindo que os funcionários utilizem aplicativos confiáveis e monitorados.

Na última sexta-feira, a Apple divulgou atualizações de segurança para iOS, iPadOS, macOS, tvOS, watchOS, visionOS e o navegador Safari, visando corrigir duas vulnerabilidades que já foram exploradas ativamente. As falhas identificadas são: CVE-2025-43529, uma vulnerabilidade de uso após liberação em WebKit que pode permitir a execução de código arbitrário ao processar conteúdo web malicioso, e CVE-2025-14174, um problema de corrupção de memória em WebKit, com uma pontuação CVSS de 8.8, que também pode resultar em corrupção de memória. A Apple reconheceu que essas falhas podem ter sido utilizadas em ataques sofisticados direcionados a indivíduos específicos em versões anteriores do iOS. É importante ressaltar que a CVE-2025-14174 é a mesma vulnerabilidade que a Google corrigiu em seu navegador Chrome no dia 10 de dezembro de 2025. As atualizações estão disponíveis para diversos dispositivos, incluindo iPhones a partir do modelo 11 e iPads a partir da 3ª geração do Pro. Com essas correções, a Apple já abordou nove vulnerabilidades zero-day exploradas em 2025, destacando a importância de manter os sistemas atualizados para garantir a segurança dos usuários.

Cibercriminosos estão utilizando um aplicativo legítimo da Play Store, chamado Supremo, para realizar fraudes digitais, especialmente na Argentina e no Brasil. A ESET identificou que os golpistas se passam por funcionários de bancos nas redes sociais, enganando usuários para que baixem o aplicativo, que oferece suporte técnico e administrativo à distância. Após a instalação, as vítimas são induzidas a compartilhar um código de acesso, permitindo que os criminosos assumam o controle remoto de seus dispositivos. Isso possibilita o acesso a informações sensíveis, como dados bancários, resultando em roubos de dinheiro e contratações fraudulentas de empréstimos. Desde maio de 2024, esse golpe tem se intensificado, com anúncios direcionados a idosos nas redes sociais, prometendo descontos em serviços. A situação é preocupante, pois, entre 2024 e 2025, o número de fraudes digitais desse tipo cresceu significativamente no Brasil, com mais de 10 mil ocorrências registradas, gerando grandes prejuízos financeiros. Especialistas alertam para a importância de campanhas educativas sobre segurança digital e recomendam que os usuários nunca instalem aplicativos de acesso remoto a partir de orientações de terceiros.

Recentemente, os desenvolvedores do Notepad++, um popular editor de código-fonte, emitiram um alerta sobre uma vulnerabilidade crítica em seu atualizador, o WinGUp. Hackers têm explorado essa falha para redirecionar o tráfego do atualizador para servidores maliciosos, resultando no download de malware nos computadores das vítimas. Essa exploração ocorre quando um atacante consegue interromper a comunicação entre o WinGUp e a infraestrutura de atualização, fazendo com que o software baixe arquivos infectados em vez de atualizações legítimas. Embora os ataques tenham sido direcionados e em número limitado, a situação é preocupante. Para mitigar o risco, os desenvolvedores lançaram uma atualização (v8.8.9) que corrige a falha, recomendando que os usuários a instalem manualmente. Além disso, é aconselhável realizar uma verificação completa com antivírus e, para empresas, restringir o acesso à internet durante o processo de atualização. A situação destaca a importância de manter softwares atualizados e de estar atento a potenciais ameaças cibernéticas.

Cibercriminosos estão utilizando táticas de engenharia social para se passar por autoridades policiais e obter acesso a dados pessoais de usuários de grandes empresas de tecnologia, como Apple e Google. Esses ataques incluem a criação de e-mails e sites que imitam endereços oficiais da polícia, com pequenas variações que podem passar despercebidas. Além disso, os criminosos também têm utilizado a técnica de Business Email Compromise (BEC), invadindo caixas de entrada de agentes e oficiais para enviar solicitações de dados que parecem legítimas. Embora as empresas de tecnologia estejam implementando portais de solicitação de dados mais rigorosos para verificar a autenticidade das solicitações, a vulnerabilidade ainda persiste, uma vez que os criminosos estão constantemente adaptando suas abordagens. A situação é preocupante, pois a entrega inadvertida de dados pessoais pode resultar em roubo de identidade e fraudes, colocando em risco a privacidade dos usuários e a conformidade com legislações como a LGPD no Brasil.

A fabricante nova-iorquina Fieldtex notificou 247.363 pessoas sobre uma violação de dados ocorrida em agosto de 2025, afetando informações pessoais de membros do programa de benefícios de saúde. O ataque cibernético, reivindicado pelo grupo de ransomware Akira, comprometeu dados como nomes, endereços, datas de nascimento e números de identificação de membros de planos de saúde. A Fieldtex, que fabrica equipamentos médicos e kits de primeiros socorros, confirmou a atividade não autorizada em seus sistemas em 19 de agosto de 2025. Embora o grupo Akira tenha afirmado ter roubado 14 GB de dados da marca E-First Aid Supplies, a empresa não confirmou a veracidade da alegação, mas admitiu que informações de saúde protegidas foram impactadas. A Fieldtex está oferecendo monitoramento de crédito gratuito para as vítimas. O ataque é um dos maiores registrados em 2025, destacando a crescente ameaça de ransomware no setor de saúde, que já contabiliza 19 ataques confirmados a empresas que não prestam cuidados diretos, comprometendo cerca de 5,8 milhões de registros pessoais.

Pesquisadores de cibersegurança alertam para uma nova campanha que utiliza repositórios Python hospedados no GitHub para distribuir um Trojan de Acesso Remoto (RAT) baseado em JavaScript, denominado PyStoreRAT. Esses repositórios, que se apresentam como ferramentas de desenvolvimento ou de inteligência de código aberto (OSINT), contêm apenas algumas linhas de código que baixam e executam um arquivo HTA remotamente. O PyStoreRAT é um implante modular que pode executar diversos tipos de arquivos, incluindo EXE, DLL e scripts em PowerShell. Além disso, ele implanta um ladrão de informações chamado Rhadamanthys como carga adicional. A campanha começou em junho de 2025 e se espalhou por meio de contas do GitHub, muitas vezes inativas, que foram reativadas para publicar os repositórios maliciosos. Os atacantes utilizam técnicas para aumentar artificialmente a popularidade dos repositórios, como inflar métricas de estrelas e forks. O malware é projetado para evitar a detecção de soluções de EDR, utilizando lógica de evasão e executando comandos que podem roubar informações sensíveis, especialmente relacionadas a carteiras de criptomoedas. A origem dos atacantes sugere um grupo de língua russa, e a campanha representa uma evolução nas técnicas de infecção, utilizando implantes baseados em scripts que se adaptam às medidas de segurança existentes.

Pesquisadores da Doctor Web identificaram um novo trojan chamado ChimeraWire, que afeta o ranqueamento de resultados no Google Chrome. Este malware não se limita ao roubo de dados, mas simula a atividade de usuários reais para aumentar a visibilidade de sites específicos, manipulando o SEO através de buscas automatizadas e cliques falsos. O ChimeraWire opera em duas cadeias de instalação: a primeira envolve a instalação de um programa que verifica a legitimidade do sistema e, se aprovado, instala um script malicioso. A segunda cadeia utiliza um instalador que simula processos legítimos do Windows, explorando vulnerabilidades para obter acesso ao sistema. Uma vez instalado, o trojan adiciona extensões que burlam CAPTCHAs e se conecta a um servidor de comando, permitindo a manipulação de tráfego falso. Além disso, o malware possui recursos adicionais, como leitura de conteúdo de páginas e captura de tela, que podem ser utilizados pelos operadores. A detecção do ChimeraWire é complicada, pois até o momento, 66 antivírus não conseguiram identificá-lo.

Uma nova ameaça de cibersegurança, identificada como DroidLock, está afetando dispositivos Android na Espanha, sequestrando celulares e espionando usuários através da câmera frontal. Detectado pela empresa Zimperium’s zLabs, o malware se espalha por meio de sites falsos, enganando as vítimas com telas de atualização falsas que as levam a entrar em contato com os hackers. Embora se assemelhe a um ransomware, o DroidLock não criptografa arquivos, mas utiliza permissões do dispositivo para alterar senhas e reconfigurar o aparelho, permitindo controle total aos criminosos. Através de uma tecnologia chamada VNC (Virtual Network Computing), os hackers conseguem acessar remotamente o dispositivo, coletando informações sensíveis, como logins e códigos de autenticação, que são enviadas para servidores controlados por eles. A situação é alarmante, especialmente para empresas, onde um simples clique em um link malicioso pode comprometer dados corporativos e a segurança de informações confidenciais. Especialistas alertam que a natureza agressiva do DroidLock pode causar danos significativos, tornando essencial que usuários e empresas adotem medidas de proteção adequadas.

A verificação digital de identidade, especialmente na abertura de contas bancárias, surge como uma solução eficaz para combater as chamadas “contas de passagem” ou “laranjas”, frequentemente utilizadas em transações ilícitas. Segundo a Prove Identity, essa prática é essencial para evitar prejuízos financeiros e proteger a reputação das empresas, uma vez que as fraudes digitais estão se tornando cada vez mais sofisticadas no Brasil. As contas de passagem são utilizadas por criminosos para ocultar a origem de valores, dificultando o rastreamento de transações fraudulentas. A verificação de identidade, realizada pelo celular, garante que apenas usuários legítimos tenham acesso aos serviços bancários, além de validar comportamentos e históricos de uso, tornando quase impossível para fraudadores simularem identidades verdadeiras. Com mais de 200 milhões de celulares ativos no Brasil, a segurança digital se torna ainda mais crítica, pois a maioria das fraudes bancárias envolve um número de celular. Portanto, é fundamental que tanto usuários quanto empresas estejam cientes das medidas de proteção para identificar práticas como a identidade sintética, que utiliza dados de pessoas falecidas ou inexistentes para realizar transações ilícitas.

O uso de inteligência artificial generativa (GenAI) em navegadores se tornou comum nas empresas, permitindo que funcionários redijam e-mails, analisem dados e desenvolvam códigos. No entanto, essa prática levanta preocupações de segurança, pois muitos usuários inserem informações sensíveis em prompts ou fazem upload de arquivos sem considerar os riscos. Os controles de segurança tradicionais não foram projetados para lidar com esse novo padrão de interação, criando uma lacuna crítica. Para mitigar esses riscos, é essencial que as organizações implementem políticas claras sobre o uso seguro de GenAI, categorizando ferramentas e definindo quais tipos de dados são permitidos. Além disso, a criação de perfis de navegador dedicados e controles por site pode ajudar a isolar o uso de GenAI de aplicativos internos sensíveis. O monitoramento contínuo e a educação dos usuários são fundamentais para garantir que as diretrizes sejam seguidas, preservando a produtividade sem comprometer a segurança. A implementação de controles de dados precisos e a gestão de extensões de navegador também são essenciais para evitar a exfiltração de informações confidenciais.

Pesquisadores de cibersegurança identificaram quatro novos kits de phishing: BlackForce, GhostFrame, InboxPrime AI e Spiderman, que facilitam o roubo de credenciais em grande escala. O BlackForce, detectado pela primeira vez em agosto de 2025, é projetado para realizar ataques Man-in-the-Browser (MitB) e capturar senhas de uso único (OTPs), burlando a autenticação multifatorial (MFA). Vendido em fóruns do Telegram, o kit já foi utilizado para se passar por marcas renomadas como Disney e Netflix. O GhostFrame, descoberto em setembro de 2025, utiliza um iframe oculto para redirecionar vítimas a páginas de phishing, enquanto o InboxPrime AI automatiza campanhas de e-mail malicioso usando inteligência artificial, permitindo que atacantes simulem comportamentos humanos reais. Por fim, o Spiderman replica páginas de login de bancos europeus, oferecendo uma plataforma completa para gerenciar campanhas de phishing. Esses kits representam uma ameaça crescente, especialmente para empresas que dependem de autenticação digital, exigindo atenção redobrada das equipes de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no OSGeo GeoServer em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-58360, possui uma pontuação CVSS de 8.2 e afeta todas as versões anteriores e incluindo 2.25.5, bem como as versões 2.26.0 a 2.26.1. Essa falha de entidade externa XML (XXE) permite que atacantes acessem arquivos arbitrários do sistema de arquivos do servidor, realizem ataques de Server-Side Request Forgery (SSRF) e até mesmo ataques de negação de serviço (DoS). A CISA recomenda que as agências federais apliquem as correções necessárias até 1º de janeiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada atualmente, um boletim do Centro Canadense de Segurança Cibernética indicou que um exploit para essa vulnerabilidade já está ativo. Além disso, uma falha crítica anterior no mesmo software, CVE-2024-36401, também foi explorada por diversos atores de ameaças no último ano.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam a vulnerabilidade crítica CVE-2025-55182, que afeta o protocolo Flight dos React Server Components. Com uma pontuação CVSS de 10.0, a falha permite que atacantes injetem lógica maliciosa em um contexto privilegiado, sem necessidade de autenticação ou interação do usuário. Desde sua divulgação em 3 de dezembro de 2025, a vulnerabilidade tem sido amplamente explorada por diversos grupos de ameaças, visando principalmente aplicações Next.js e cargas de trabalho em Kubernetes. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas Exploradas, estabelecendo um prazo para correção até 12 de dezembro de 2025. A empresa de segurança Cloudflare observou uma onda rápida de exploração, com ataques direcionados a sistemas expostos na internet, especialmente em regiões como Taiwan e Japão. Além disso, foram registrados mais de 35.000 tentativas de exploração em um único dia, com alvos que incluem instituições governamentais e empresas de alta tecnologia. A situação exige atenção imediata das organizações para evitar compromissos de segurança.

A equipe do React anunciou a correção de duas novas vulnerabilidades nos React Server Components (RSC), que, se exploradas, podem resultar em negação de serviço (DoS) ou exposição de código-fonte. As falhas foram descobertas pela comunidade de segurança enquanto tentavam explorar patches para uma vulnerabilidade crítica anterior (CVE-2025-55182, pontuação CVSS: 10.0). As três vulnerabilidades identificadas são: CVE-2025-55184 e CVE-2025-67779, ambas com pontuação CVSS de 7.5, que podem causar DoS devido à desserialização insegura de cargas úteis em requisições HTTP, e CVE-2025-55183, com pontuação CVSS de 5.3, que pode vazar informações ao retornar o código-fonte de funções de servidor vulneráveis. As versões afetadas incluem 19.0.0 a 19.2.1 para as duas primeiras vulnerabilidades e 19.0.2 a 19.2.2 para a última. A equipe do React recomenda que os usuários atualizem para as versões 19.0.3, 19.1.4 e 19.2.3 imediatamente, especialmente devido à exploração ativa da CVE-2025-55182. A resposta da comunidade de segurança é vista como um sinal positivo de um ciclo de resposta saudável.

Cibercriminosos estão utilizando técnicas de envenenamento de IA para promover números falsos de suporte ao cliente em fontes públicas acessadas por chatbots. Um estudo da Aurascape revelou que essa manipulação, chamada de “envenenamento de números de telefone de LLM”, afeta modelos de linguagem como a Visão Geral da Google e o navegador Comet da Perplexity. A técnica, que se assemelha à otimização de motores de busca (SEO), visa garantir que sites fraudulentos sejam utilizados como fontes de informação por assistentes de IA. Isso é feito ao comprometer sites legítimos, como os de instituições governamentais e universidades, e ao abusar de plataformas que permitem conteúdo gerado por usuários, como YouTube e Yelp. Os pesquisadores destacam que a dificuldade em distinguir entre informações legítimas e fraudulentas pode levar a usuários a entrarem em contato com call centers falsos, como demonstrado em casos envolvendo as companhias aéreas Emirates e British Airlines. A recomendação é que os usuários verifiquem a veracidade das informações e evitem compartilhar dados sensíveis com assistentes de IA, que ainda não foram amplamente testados em termos de segurança.

Um novo kit de phishing, conhecido como Spiderman, foi identificado por especialistas da Varonis em circulação na dark web, visando clientes de bancos e provedores de serviços financeiros na Europa. Este kit permite que cibercriminosos automatizem ataques para roubar dados pessoais em tempo real, facilitando a criação de páginas falsas que imitam sites legítimos. O Spiderman é considerado uma das ferramentas mais perigosas de 2025, com ataques já registrados em cinco países, incluindo Alemanha, Bélgica e Espanha.

Um novo malware, denominado Shai Hulud 2.0, foi identificado por especialistas da Kaspersky e está causando preocupação no cenário de cibersegurança. Distribuído através do Node Package Manager (npm), esse worm apresenta um funcionamento em dois estágios. Na primeira fase, ele compromete pacotes npm, enquanto na segunda, se não conseguir roubar dados, apaga arquivos do usuário. Desde sua descoberta em setembro de 2025, mais de 800 pacotes npm foram infectados, afetando principalmente desenvolvedores no Brasil, mas também em países como China, Índia, Rússia, Turquia e Vietnã.

Uma pesquisa realizada pela Proton Mail revelou que 80% dos e-mails promocionais recebidos pelos usuários contêm tecnologias de rastreamento. O estudo analisou mensagens das 50 maiores varejistas dos Estados Unidos durante o período de Black Friday, onde o volume de e-mails promocionais disparou, alcançando cerca de 2,55 bilhões de envios diários. Os rastreadores, que geralmente são pixels invisíveis, coletam dados sobre a localização do usuário, horários de abertura dos e-mails, cliques e até compras realizadas. Essa prática permite que as empresas construam perfis detalhados dos consumidores, visando direcionar anúncios personalizados. Entre as empresas que mais utilizam essas ferramentas estão CB2, Anthropologie e Victoria’s Secret. Os especialistas alertam que essa coleta de dados transforma a simples ação de abrir um e-mail em um evento de vigilância, levantando preocupações sobre privacidade e segurança dos dados dos usuários.

O Google lançou uma atualização urgente para o navegador Chrome, corrigindo uma vulnerabilidade de alta severidade que estava sendo explorada ativamente como um zero-day. Além dessa falha crítica, a atualização também abrange duas outras vulnerabilidades de severidade média. A vulnerabilidade de alta severidade está relacionada a um estouro de buffer na biblioteca LibANGLE, que pode permitir a corrupção de memória e a execução remota de código. O Google não divulgou detalhes específicos sobre a falha para proteger os usuários, mas confirmou que um exploit já estava em uso. Esta é a oitava correção de zero-day do Chrome em 2023, evidenciando a crescente frequência de ataques direcionados a navegadores. A atualização já está sendo distribuída para a maioria dos usuários, embora a data exata de implementação não tenha sido especificada. A LibANGLE é uma camada de tradução que permite que aplicativos executem conteúdo WebGL e OpenGL ES, mesmo em sistemas que não suportam essas APIs nativamente. A falha pode ter sérias implicações, como a possibilidade de vazamento de dados sensíveis e a interrupção do funcionamento do navegador.

A OpenAI alertou que seus futuros Modelos de Linguagem de Grande Escala (LLMs) podem representar riscos cibernéticos significativos, potencialmente facilitando o desenvolvimento de exploits zero-day e campanhas de ciberespionagem avançadas. Em um recente comunicado, a empresa destacou que as capacidades cibernéticas de seus modelos estão evoluindo rapidamente, o que, embora possa parecer preocupante, também traz benefícios para a defesa cibernética. Para mitigar esses riscos, a OpenAI está investindo em ferramentas de defesa, controles de acesso e um programa de cibersegurança em camadas. A empresa planeja introduzir um programa que oferecerá aos usuários acesso a capacidades aprimoradas para tarefas de cibersegurança. Além disso, a OpenAI formará um conselho consultivo, o Frontier Risk Council, composto por especialistas em cibersegurança, que ajudará a definir limites entre capacidades úteis e potenciais abusos. A OpenAI também participa do Frontier Model Forum, onde compartilha conhecimentos e melhores práticas com parceiros da indústria, visando identificar como as capacidades de IA podem ser potencialmente armadas e como mitigar esses riscos.

A conta oficial da Paramount Pictures no X (antigo Twitter) foi hackeada no dia 9 de dezembro de 2025, com a descrição do perfil alterada para uma referência ao fascismo. A conta, que possui 3,4 milhões de seguidores, teve sua biografia temporariamente modificada para “braço orgulhoso do regime fascista”, mas a descrição foi rapidamente restaurada. O ataque ocorre em um contexto de intensa competição no setor de entretenimento, especialmente após a Paramount Skydance ter feito uma proposta agressiva para adquirir a Warner Bros. Discovery, que recentemente foi comprada pela Netflix. O CEO da Paramount Skydance, David Ellison, é conhecido por seu apoio ao ex-presidente Donald Trump, o que adiciona uma camada de complexidade ao incidente. A situação destaca a vulnerabilidade das contas de redes sociais de grandes empresas, especialmente em tempos de disputas corporativas acirradas. Embora ainda não haja informações sobre os responsáveis pelo ataque, a ação levanta preocupações sobre a segurança cibernética em um setor que está se transformando rapidamente.

A empresa de cibersegurança Sophos revelou que grupos de cibercriminosos estão utilizando a plataforma Shanya, que oferece um serviço de empacotamento de malware, conhecido como packer-as-a-service. Essa ferramenta permite que códigos maliciosos sejam ofuscados, dificultando sua detecção por antivírus e outras soluções de segurança. O uso do Shanya tem crescido desde o final de 2024, sendo empregado por grupos como Medusa, Qilin, Crytox e Akira, com foco em ransomwares que desativam soluções de detecção e resposta (EDR).

Um adolescente de 19 anos foi detido em Barcelona, Espanha, após ser acusado de roubar 64 milhões de registros de dados de nove empresas por meio de invasões digitais. A polícia espanhola revelou que o jovem utilizava seis contas e cinco pseudônimos para ocultar suas atividades criminosas, além de tentar vender as credenciais em fóruns online. Os dados vazados incluem informações pessoais como nomes, endereços, e-mails e números de telefone, mas ainda não se sabe quantas pessoas foram afetadas. As investigações começaram em junho e culminaram na apreensão de computadores e carteiras de criptomoedas do suspeito, que continham fundos obtidos com a venda das informações. O adolescente enfrenta acusações de crimes cibernéticos, acesso não autorizado a informações privadas e violação de privacidade.

O Escritório do Comissário de Informação do Reino Unido (ICO) multou a LastPass em £1,2 milhões (cerca de $1,6 milhões) devido a um vazamento de dados ocorrido em 2022, que comprometeu informações de 1,6 milhão de usuários. O ICO apontou que a LastPass não implementou medidas de segurança adequadas, resultando em dois incidentes de violação de dados. O ataque começou com a obtenção de credenciais criptografadas após a invasão de um laptop da empresa, que tinha acesso ao ambiente de desenvolvimento da LastPass. O invasor, utilizando um keylogger, conseguiu acessar o banco de dados de backup da LastPass, roubando informações pessoais como nomes, e-mails, números de telefone e URLs de sites armazenados. Embora a LastPass utilize um formato de criptografia de conhecimento zero, o que significa que as senhas armazenadas não foram confirmadas como descriptografadas, a exposição de dados pessoais é uma preocupação significativa. O Comissário de Informação do Reino Unido, John Edwards, enfatizou a importância de que empresas que oferecem gerenciadores de senhas garantam a segurança dos dados de seus clientes, alertando para a necessidade de revisão urgente dos sistemas de segurança. Este incidente destaca a vulnerabilidade de sistemas amplamente utilizados e a necessidade de medidas de proteção robustas.

Entre janeiro e novembro de 2025, o grupo de ransomware Akira reivindicou 683 ataques, tornando-se a segunda variante mais ativa do ano, atrás do Qilin, que teve 864 ataques no mesmo período. Este número já supera mais do que o dobro dos 272 ataques registrados em 2024. A atividade do Akira apresentou dois picos notáveis, com um aumento significativo no primeiro trimestre de 2025, seguido por uma queda entre abril e julho, e um novo aumento nos últimos meses, impulsionado pela exploração de vulnerabilidades do SonicWall SSL VPN (CVE-2024-40766). O FBI e outras agências dos EUA emitiram um alerta sobre a atividade do Akira, destacando a ameaça iminente à infraestrutura crítica. Até setembro de 2025, o grupo alegou ter arrecadado aproximadamente 244,17 milhões de dólares em resgates. Os alvos principais incluem pequenas e médias empresas, com um foco crescente em fabricantes, enquanto os ataques ao setor educacional diminuíram drasticamente. Os Estados Unidos foram o país mais afetado, com 455 ataques, seguidos por Alemanha e Canadá. O Akira também é conhecido por suas altas demandas de resgate, com casos documentados de valores que chegam a 1,4 milhão de dólares.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-8110, está sendo ativamente explorada em mais de 700 instâncias do Gogs, um serviço de Git auto-hospedado. Com uma pontuação CVSS de 8.7, a falha permite a execução local de código devido a um manuseio inadequado de links simbólicos na API de atualização de arquivos. A vulnerabilidade foi descoberta acidentalmente em julho de 2025 durante uma investigação de infecção por malware. Os atacantes podem explorar essa falha para sobrescrever arquivos críticos no servidor e obter acesso SSH. Além disso, a Wiz, empresa de segurança em nuvem, observou que os atacantes deixaram repositórios comprometidos visíveis, indicando uma campanha de estilo ‘smash-and-grab’. Com cerca de 1.400 instâncias expostas, é crucial que os usuários desativem o registro aberto e limitem a exposição à internet. A Wiz também alertou sobre o uso de Tokens de Acesso Pessoal do GitHub como pontos de entrada para acessar ambientes de nuvem, destacando a necessidade de vigilância contínua e ações corretivas imediatas.

O grupo de ameaças persistentes avançadas (APT) conhecido como WIRTE tem sido responsável por ataques direcionados a entidades governamentais e diplomáticas no Oriente Médio desde 2020, utilizando uma nova suíte de malware chamada AshTag. A Palo Alto Networks está monitorando essa atividade sob o nome de Ashen Lepus, que recentemente ampliou seu foco para países como Omã e Marrocos, além de já ter atuado na Autoridade Palestina, Jordânia, Iraque, Arábia Saudita e Egito. Durante o conflito Israel-Hamas, o Ashen Lepus manteve suas operações, ao contrário de outros grupos que diminuíram suas atividades. O malware AshTag, um backdoor modular em .NET, permite execução remota de comandos e coleta de informações, disfarçando-se como uma ferramenta legítima. As táticas incluem o uso de e-mails de phishing com documentos relacionados a assuntos geopolíticos, levando a downloads de arquivos maliciosos que instalam o malware. A exfiltração de dados foi observada, com documentos diplomáticos sendo transferidos para servidores controlados pelos atacantes. A continuidade das operações do Ashen Lepus destaca a determinação do grupo em coletar inteligência, mesmo em tempos de conflito.

O uso da Automação de Processos Robóticos (RPA) tem crescido nas empresas, trazendo eficiência e segurança, mas também desafios significativos na gestão de identidades não humanas (NHIs). À medida que os bots começam a superar o número de funcionários humanos, a gestão do ciclo de vida das identidades se torna crucial para mitigar riscos de segurança. A RPA impacta a Gestão de Identidade e Acesso (IAM) ao gerenciar identidades de bots, garantir acesso com privilégios mínimos e assegurar a auditabilidade. Os benefícios incluem maior eficiência, precisão e segurança, além de suporte à conformidade regulatória. No entanto, surgem desafios como a gestão de bots, aumento da superfície de ataque e dificuldades de integração com sistemas legados. Para garantir a segurança da RPA dentro da IAM, as empresas devem priorizar identidades de bots, utilizar gerenciadores de segredos, implementar Gestão de Acesso Privilegiado (PAM) e fortalecer a autenticação com autenticação multifator (MFA). Essas práticas ajudam a manter um ambiente seguro e alinhado aos princípios de segurança de confiança zero.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo backdoor para Windows chamado NANOREMOTE, que utiliza a API do Google Drive para suas operações de comando e controle (C2). De acordo com o Elastic Security Labs, o malware apresenta semelhanças de código com outro implante conhecido como FINALDRAFT, que utiliza a API do Microsoft Graph. O NANOREMOTE é projetado para facilitar o roubo de dados e a transferência de arquivos de forma discreta, utilizando um sistema de gerenciamento de tarefas que permite pausar, retomar e cancelar transferências de arquivos. Acredita-se que o grupo por trás do NANOREMOTE, conhecido como REF7707, esteja vinculado a atividades de espionagem cibernética, com alvos em setores como governo, defesa e telecomunicações na Ásia e América do Sul. O vetor de acesso inicial para o NANOREMOTE ainda não é conhecido, mas um loader chamado WMLOADER foi identificado como parte da cadeia de ataque. O malware é escrito em C++ e possui funcionalidades que incluem execução de arquivos e coleta de informações do host. A utilização de uma chave de criptografia comum entre NANOREMOTE e FINALDRAFT sugere uma possível conexão entre os dois malwares, indicando um ambiente de desenvolvimento compartilhado.

O cenário de cibersegurança apresenta um aumento significativo nas ameaças digitais, com hackers infiltrando malware em downloads de filmes, extensões de navegador e atualizações de software. Um novo botnet, Broadside, baseado na variante Mirai, está explorando uma vulnerabilidade crítica em dispositivos TBK DVR, visando o setor de logística marítima. Além disso, o Centro Nacional de Cibersegurança do Reino Unido alertou que falhas em aplicações de inteligência artificial generativa podem nunca ser totalmente mitigadas. Em uma operação da Europol, 193 indivíduos foram presos por envolvimento em redes de ‘violência como serviço’, enquanto na Polônia, três ucranianos foram detidos por tentativas de sabotagem de sistemas de TI. Na Espanha, um jovem hacker foi preso por roubar 64 milhões de registros de dados. A Rússia desmantelou uma operação que utilizava malware para roubar milhões de clientes bancários. Por fim, uma nova backdoor chamada GhostPenguin foi descoberta, capaz de coletar informações de sistemas Linux. Esses eventos destacam a necessidade urgente de medidas de segurança robustas e vigilância contínua.

A Huntress alertou sobre uma nova vulnerabilidade ativa nos produtos CentreStack e Triofox da Gladinet, que resulta do uso de chaves criptográficas hard-coded. Até o momento, nove organizações, incluindo aquelas nos setores de saúde e tecnologia, foram afetadas. A falha permite que atacantes acessem o arquivo web.config, possibilitando a deserialização de ViewState e a execução remota de código. A função ‘GenerateSecKey()’, presente no arquivo ‘GladCtrl64.dll’, gera chaves criptográficas que nunca mudam, tornando-as vulneráveis a ataques. Os invasores podem explorar essa falha enviando requisições URL específicas para o endpoint ‘/storage/filesvr.dn’, criando tickets de acesso que nunca expiram. A Huntress recomenda que as organizações afetadas atualizem para a versão mais recente do software e verifiquem logs em busca de atividades suspeitas. Caso sejam detectados indicadores de comprometimento, é essencial rotacionar a chave da máquina seguindo um procedimento específico. A situação é crítica, e as empresas devem agir rapidamente para mitigar os riscos associados a essa vulnerabilidade.

No dia 11 de dezembro de 2025, o Google lançou atualizações de segurança para o navegador Chrome, abordando três falhas de segurança, sendo uma delas considerada de alta severidade e já em exploração ativa. A vulnerabilidade, identificada pelo ID do rastreador de problemas do Chromium ‘466192044’, não teve detalhes divulgados sobre seu identificador CVE, componente afetado ou natureza da falha, a fim de proteger os usuários e evitar que atacantes desenvolvam suas próprias explorações. Desde o início do ano, o Google já corrigiu oito falhas zero-day no Chrome, que foram exploradas ou demonstradas como prova de conceito. Além disso, duas outras vulnerabilidades de severidade média foram abordadas. Os usuários são aconselhados a atualizar seus navegadores para as versões mais recentes para garantir a segurança. A atualização é especialmente relevante para usuários de navegadores baseados em Chromium, como Microsoft Edge e Brave, que também devem aplicar as correções assim que disponíveis.

O ‘golpe do cartão trocado’ é uma nova modalidade de fraude que vem se espalhando pelo Brasil, onde criminosos trocam o cartão de crédito da vítima por um idêntico, utilizando-o para realizar compras até que o golpe seja descoberto. Um caso notório ocorreu com Lucas Hiroshi, um influenciador digital que perdeu R$ 4.000 após ser enganado por um ambulante em São Paulo. O golpe se deu quando o vendedor alegou que a função de aproximação da maquininha não estava funcionando e pediu o cartão físico. Durante o processo de pagamento, o cartão foi trocado por um semelhante, resultando em compras fraudulentas. Para se proteger, especialistas recomendam que os consumidores nunca entreguem o cartão ao vendedor, verifiquem sempre o visor da maquininha e monitorem suas faturas regularmente. Além disso, é aconselhável desativar o pagamento por aproximação se o cartão não for utilizado com frequência. O aumento desse tipo de golpe destaca a necessidade de atenção redobrada ao usar cartões de crédito e débito em transações cotidianas.

Uma vulnerabilidade crítica no WinRAR, software amplamente utilizado para compactação e extração de arquivos, está sendo explorada ativamente por grupos de hackers, conforme alerta da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). Identificada como CVE-2025-6218, a falha é do tipo travessia de diretório, permitindo a execução de códigos maliciosos através da inserção de caracteres enganosos que burlam o sistema operacional. Para que a exploração ocorra, a vítima deve acessar um arquivo ou página comprometida.

Uma vulnerabilidade crítica, identificada como React2Shell (CVE-2025-55182), foi recentemente explorada por grupos de hackers patrocinados pelo Estado norte-coreano, além de grupos chineses. Essa falha afeta várias versões do React Server Components (RSC), uma biblioteca amplamente utilizada na construção de aplicações web. A vulnerabilidade permite que atacantes executem código malicioso antes da autenticação, o que representa um risco significativo para a segurança de sistemas que utilizam essas versões. As versões afetadas incluem 19.0, 19.1.0, 19.1.1 e 19.2.0, e os especialistas recomendam que as atualizações sejam feitas imediatamente para as versões corrigidas 19.0.1, 19.1.2 e 19.2.1.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em novembro de 2025 contra a Rainbow Communications, uma provedora de telefonia e internet rural no nordeste do Kansas. No dia 16 de novembro, a Rainbow anunciou problemas de serviço devido a um evento de cibersegurança que afetou a telefonia e a internet de seus clientes, com a normalização dos serviços ocorrendo em 19 de novembro. O grupo alegou ter roubado 200 GB de dados, incluindo informações contábeis, de recursos humanos e dados de clientes, e publicou amostras desses documentos em seu site de vazamento de dados. Até o momento, a Rainbow não confirmou as alegações do grupo, e detalhes sobre a extensão da violação, o número de pessoas afetadas, se um resgate foi pago ou como a rede foi comprometida permanecem desconhecidos. O grupo Inc, que surgiu em julho de 2023, já foi responsável por 54 ataques confirmados em 2025, afetando setores como saúde, educação e governo. Os ataques de ransomware em empresas de utilidade nos EUA têm se tornado cada vez mais comuns, resultando em interrupções significativas nos serviços e riscos de fraude para os clientes.

Uma nova pesquisa revelou vulnerabilidades no .NET Framework que podem ser exploradas em aplicações empresariais, permitindo a execução remota de código. Codenomeada de ‘SOAPwn’ pela WatchTowr Labs, a falha afeta produtos como Barracuda Service Center RMM e Ivanti Endpoint Manager, além de potencialmente impactar outros fornecedores devido à ampla utilização do .NET. A vulnerabilidade permite que atacantes abusem de importações de WSDL e proxies de cliente HTTP para executar código arbitrário, explorando erros na manipulação de mensagens SOAP. Um cenário hipotético de ataque envolve o uso de um caminho UNC para direcionar solicitações SOAP a um compartilhamento SMB controlado pelo atacante, possibilitando a captura de desafios NTLM. Além disso, a pesquisa identificou um vetor de exploração mais poderoso em aplicações que geram proxies de cliente HTTP a partir de arquivos WSDL, permitindo a execução remota de código ao não validar URLs. Apesar da divulgação responsável, a Microsoft optou por não corrigir a falha, alegando que se trata de um problema de comportamento de aplicação. As versões corrigidas já estão disponíveis para algumas das aplicações afetadas, com pontuações CVSS de até 9.8, indicando um risco elevado.

A vulnerabilidade CVE-2025-55182, presente nos React Server Components (RSC), está sendo amplamente explorada por cibercriminosos para implantar mineradores de criptomoedas e diversas famílias de malware, segundo a Huntress. As ameaças incluem um backdoor Linux chamado PeerBlight, um túnel proxy reverso denominado CowTunnel e um implante pós-exploração chamado ZinFoq. Desde o início de dezembro de 2025, ataques têm sido direcionados a setores como construção e entretenimento, com o primeiro registro de exploração em um endpoint Windows em 4 de dezembro. Os atacantes utilizam ferramentas automatizadas para explorar a vulnerabilidade, que permite a execução remota de código não autenticado. Os payloads observados incluem scripts que baixam mineradores de criptomoedas e backdoors que se disfarçam como processos legítimos do sistema. A Huntress recomenda que organizações que utilizam pacotes vulneráveis atualizem imediatamente seus sistemas, dado o alto potencial de exploração e a gravidade da falha. A Shadowserver Foundation identificou mais de 165 mil endereços IP e 644 mil domínios com código vulnerável, destacando a urgência da situação.

Um ataque de clique zero, identificado por especialistas da Straiker STAR Labs, está ameaçando usuários do navegador Comet, da Perplexity AI, ao permitir que cibercriminosos excluam arquivos do Google Drive sem que a vítima precise clicar em links maliciosos. Esse ataque explora a integração entre o navegador e serviços do Google, como Gmail e Drive, que concede ao Comet acesso para gerenciar arquivos e e-mails. Os hackers podem enviar um e-mail aparentemente inofensivo que, ao ser processado pelo navegador, executa comandos que resultam na exclusão de arquivos, sem qualquer confirmação do usuário. Além disso, a vulnerabilidade permite que os atacantes controlem o OAuth do Gmail e do Drive, propagando instruções maliciosas por meio de pastas compartilhadas, afetando outros usuários. Os pesquisadores alertam que esse tipo de ataque evidencia como modelos de linguagem de grande escala podem ser manipulados para obedecer a comandos maliciosos, representando um risco significativo para a segurança dos dados dos usuários.

Uma vulnerabilidade no Google Family Link, ferramenta de controle parental do Google, está gerando preocupações entre especialistas em cibersegurança. Cibercriminosos têm conseguido bloquear contas de usuários do Gmail, tornando impossível a recuperação das mesmas. A falha ocorre quando hackers alteram a idade do usuário para 10 anos, criando um perfil infantil que fica sob seu controle. Isso impede que o proprietário original da conta realize qualquer ação de recuperação, uma vez que o sistema considera a conta como pertencente a uma criança. O Google foi notificado sobre a vulnerabilidade e está investigando o caso, mas ainda não apresentou uma solução. Relatos anteriores indicam que essa falha pode não ser nova, com usuários enfrentando problemas semelhantes há anos. A situação levanta questões sobre a eficácia do Family Link e a necessidade de uma revisão em suas funcionalidades de segurança, especialmente considerando que a idade mínima para ter uma conta no Gmail é geralmente de 13 anos. O impacto dessa vulnerabilidade pode ser significativo, especialmente para usuários que dependem do Gmail para comunicação e armazenamento de dados.

Um relatório recente da Gartner alerta que navegadores com agentes de inteligência artificial (IA) apresentam riscos significativos à segurança. A pesquisa, liderada por Dennis Xu, Evgeny Mirolyubov e John Watts, conclui que as configurações padrão desses navegadores priorizam a experiência do usuário em detrimento da segurança, expondo dados sensíveis dos usuários. Os navegadores de IA, que incluem funcionalidades como barras laterais para resumos e interações com conteúdo web, frequentemente enviam informações como histórico de navegação e abas abertas para servidores em nuvem, aumentando o risco de vazamentos de dados. O estudo recomenda que as organizações evitem o uso desses navegadores, a menos que medidas rigorosas de segurança sejam implementadas. Além disso, os especialistas alertam para o potencial de ações errôneas por parte da IA, como compras indevidas ou preenchimento incorreto de formulários. Para mitigar esses riscos, é sugerido o bloqueio do acesso das IAs a e-mails e a revisão das configurações de privacidade dos navegadores. A conclusão é que, sem uma análise de risco adequada, o uso de navegadores de IA é considerado perigoso.

Uma análise da Trend Micro revelou a evolução da campanha maliciosa Water Saci, que utiliza o malware SORVEPOTEL para se propagar através do WhatsApp Web, especialmente entre usuários brasileiros. Os hackers mudaram suas táticas, substituindo o código PowerShell por Python, o que aumentou a compatibilidade com navegadores e a eficiência na automação do ataque. A campanha se baseia em engenharia social, induzindo os usuários a interagir com conteúdos maliciosos, como arquivos ZIP e PDF, além de mensagens fraudulentas que simulam atualizações do Adobe Acrobat.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade no WinRAR, rastreada como CVE-2025-6218, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. Essa falha, com uma pontuação CVSS de 7.8, é um bug de travessia de caminho que pode permitir a execução de código, exigindo que a vítima acesse uma página maliciosa ou abra um arquivo comprometido. A vulnerabilidade foi corrigida pela RARLAB na versão 7.12 do WinRAR, lançada em junho de 2025, e afeta apenas versões do Windows. A exploração dessa falha pode permitir que arquivos sejam colocados em locais sensíveis, como a pasta de inicialização do Windows, levando à execução não intencional de código na próxima entrada do sistema. Relatórios indicam que grupos de ameaças, como GOFFEE e Bitter, têm explorado essa vulnerabilidade em ataques direcionados, incluindo campanhas de phishing. A CISA alertou que agências federais devem aplicar as correções necessárias até 30 de dezembro de 2025 para proteger suas redes.

Recentemente, Fortinet, Ivanti e SAP lançaram atualizações para corrigir vulnerabilidades críticas em seus produtos que poderiam permitir a execução de código e a bypass de autenticação. As falhas da Fortinet, identificadas como CVE-2025-59718 e CVE-2025-59719, afetam o FortiOS, FortiWeb, FortiProxy e FortiSwitchManager, com uma pontuação CVSS de 9.8. A vulnerabilidade permite que atacantes não autenticados contornem a autenticação do FortiCloud SSO por meio de mensagens SAML manipuladas. Para mitigar o risco, recomenda-se desativar essa funcionalidade até que a atualização seja aplicada.

Em dezembro de 2025, a Microsoft lançou atualizações para corrigir 56 vulnerabilidades em seus produtos, incluindo três classificadas como Críticas. Entre as falhas, destaca-se a CVE-2025-62221, uma vulnerabilidade de uso após a liberação de memória no Windows Cloud Files Mini Filter Driver, que está sendo explorada ativamente. Essa falha permite que atacantes autorizados elevem seus privilégios e obtenham permissões de sistema. Além disso, foram identificadas outras vulnerabilidades significativas, como a CVE-2025-54100 e a CVE-2025-64671, ambas relacionadas a injeções de comando em PowerShell e GitHub Copilot, respectivamente. A exploração dessas falhas pode levar a compromissos de segurança em larga escala, especialmente quando combinadas com técnicas de engenharia social. A CISA dos EUA já incluiu a CVE-2025-62221 em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, exigindo que agências federais apliquem o patch até 30 de dezembro de 2025. O total de CVEs corrigidos pela Microsoft em 2025 ultrapassou 1.275, destacando a crescente preocupação com a segurança em suas plataformas.

A gangue de ransomware DragonForce reivindicou um ataque cibernético à cidade de La Vergne, no Tennessee, que resultou na interrupção dos sistemas de computador da administração local. Em um comunicado emitido em 17 de outubro de 2025, os oficiais da cidade informaram que estavam investigando um incidente de rede que comprometeu os servidores do governo, com a gangue afirmando ter roubado 382 GB de dados. DragonForce deu um prazo de uma semana para que a cidade pagasse um valor não revelado em resgate, ameaçando divulgar os dados roubados caso a exigência não fosse atendida. Embora a cidade tenha tomado medidas imediatas para isolar os sistemas afetados e envolvido profissionais de cibersegurança e autoridades policiais, ainda não há confirmação sobre a veracidade das alegações da gangue. Este ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais nos Estados Unidos, com mais de 70 incidentes confirmados em 2025, comprometendo cerca de 450 mil registros. A situação destaca a vulnerabilidade das infraestruturas governamentais e a necessidade urgente de medidas de proteção e resposta a incidentes.

Um novo relatório da Recorded Future revela que o grupo de cibercriminosos conhecido como GrayBravo, anteriormente identificado como TAG-150, está utilizando um carregador de malware chamado CastleLoader em quatro clusters de atividade distintos. Este grupo é caracterizado por sua sofisticação técnica e rápida adaptação às reportagens públicas. O CastleLoader é um componente central de uma infraestrutura de malware como serviço (MaaS), permitindo que outros atores do crime cibernético o utilizem. Entre as ferramentas associadas ao GrayBravo estão o trojan de acesso remoto CastleRAT e o framework de malware CastleBot, que é responsável por injetar módulos maliciosos em sistemas vulneráveis. Os ataques são direcionados a setores específicos, como logística e transporte, utilizando técnicas de phishing e malvertising. A análise também destaca a utilização de contas fraudulentas em plataformas de correspondência de frete para aumentar a credibilidade das campanhas de phishing. A crescente adoção do CastleLoader por diversos grupos de ameaças indica uma proliferação rápida de ferramentas avançadas no ecossistema cibernético, o que representa um risco significativo para empresas em diversos setores.

Um novo malware chamado EtherRAT, vinculado a atores de ameaças da Coreia do Norte, está explorando uma vulnerabilidade crítica recentemente divulgada no React Server Components (RSC). Essa falha, identificada como CVE-2025-55182, possui uma pontuação CVSS de 10.0, indicando sua gravidade máxima. O EtherRAT utiliza contratos inteligentes do Ethereum para resolver comandos de controle e possui cinco mecanismos independentes de persistência no Linux, o que permite que ele mantenha acesso contínuo aos sistemas infectados. O ataque geralmente começa com uma abordagem de engenharia social, onde os desenvolvedores de blockchain e Web3 são alvos de entrevistas de emprego falsas. Após a exploração da vulnerabilidade, um script shell é baixado e executado, instalando o malware. O EtherRAT se destaca por sua capacidade de se atualizar e por usar um mecanismo de votação de consenso entre nove endpoints RPC do Ethereum para obter URLs de servidores de comando e controle, dificultando a detecção e a neutralização. Essa evolução na exploração da vulnerabilidade do React representa um desafio significativo para as defesas tradicionais, exigindo atenção especial dos profissionais de segurança cibernética.