Cibersegurança

Pesquisadores de cibersegurança identificaram duas novas famílias de malware: CHILLYHELL, um backdoor modular para macOS, e ZynorRAT, um trojan de acesso remoto (RAT) baseado em Go que ataca sistemas Windows e Linux. O CHILLYHELL, atribuído ao grupo de hackers UNC4487, é projetado para arquiteturas Intel e foi descoberto em uma amostra enviada ao VirusTotal em maio de 2025. Este malware se destaca por suas múltiplas técnicas de persistência e pela capacidade de modificar timestamps para evitar detecções. Ele se comunica com servidores de comando e controle (C2) e pode executar uma variedade de comandos, incluindo a coleta de informações do sistema e ataques de força bruta. Por outro lado, o ZynorRAT utiliza um bot do Telegram para gerenciar máquinas infectadas, permitindo exfiltração de arquivos e execução de comandos arbitrários. Embora o ZynorRAT tenha sido submetido ao VirusTotal em julho de 2025, ele ainda está em desenvolvimento, especialmente na versão para Windows. Ambas as ameaças ressaltam a evolução das técnicas de malware, exigindo atenção redobrada de profissionais de segurança da informação.

O Centro de Inteligência de Ameaças S2W da Coreia do Sul revelou uma campanha sofisticada do grupo APT Kimsuky, apoiado pela Coreia do Norte, que utiliza repositórios do GitHub para hospedar e atualizar malware baseado em PowerShell. Os atacantes disfarçam arquivos LNK como faturas eletrônicas, criando backdoors persistentes e exfiltrando metadados sensíveis para repositórios controlados por eles. A intrusão começa com um arquivo ZIP contendo um atalho malicioso que, ao ser executado, baixa e executa um script PowerShell de um repositório privado no GitHub. Este script não apenas disfarça a atividade maliciosa, mas também coleta informações críticas do sistema, como endereço IP e versão do sistema operacional, enviando esses dados de volta para o repositório do atacante. A análise dos repositórios revelou a utilização de ferramentas de acesso remoto (RAT) e processos de monitoramento de área de transferência. Para mitigar essa ameaça, recomenda-se que equipes de segurança monitorem o tráfego da API do GitHub e implementem validações mais rigorosas de tokens do GitHub em scripts.

O grupo APT DarkSamurai, associado ao Patchwork, tem realizado uma campanha de ataques cibernéticos direcionados a instituições estratégicas no Paquistão. Utilizando arquivos MSC disfarçados como PDFs, os atacantes implantaram trojans de acesso remoto (RATs) para infiltrar redes e exfiltrar dados sensíveis. A operação começa com e-mails de spear-phishing que imitam entidades governamentais, levando as vítimas a abrir um arquivo malicioso que ativa um controle ActiveX. Este controle executa um script JScript que busca um payload JavaScript ofuscado, resultando na instalação de um RAT personalizado. O ataque é caracterizado por técnicas de evasão de detecção, como a polimorfia do script e o uso de tarefas agendadas para manter a persistência. A análise do payload final revelou um RAT chamado Mythic, que se comunica com um servidor de comando e controle usando criptografia AES-256-HMAC. A operação DarkSamurai é, na verdade, uma manobra de falsa bandeira para desviar a atenção das atividades do Patchwork, que tem um histórico de ataques a organizações militares e diplomáticas na Ásia do Sul. Este caso destaca a necessidade de uma investigação rigorosa e atribuição de ameaças para proteger infraestruturas críticas contra espionagem patrocinada por estados.

A empresa de cibersegurança Kroll revelou uma campanha de espionagem sofisticada utilizando um malware inédito chamado GONEPOSTAL, atribuído ao grupo de ameaças patrocinado pelo estado russo KTA007, conhecido como Fancy Bear ou APT28. Este malware inova ao usar a funcionalidade de e-mail do Microsoft Outlook como um canal oculto para comunicações de comando e controle (C2).

A arquitetura do GONEPOSTAL é composta por um dropper DLL malicioso e um arquivo VbaProject.OTM protegido por senha, que contém macros do Outlook. O ataque inicia com a execução de um DLL malicioso que se disfarça como uma biblioteca legítima da Microsoft, redirecionando funções para garantir a funcionalidade normal do aplicativo enquanto executa código malicioso.

Um novo ataque de phishing tem utilizado a plataforma AppSheet do Google para roubar credenciais de usuários. Os hackers registram contas no AppSheet e enviam notificações automatizadas que imitam alertas legítimos de sistemas, utilizando e-mails que parecem autênticos e que passam por verificações de segurança como SPF, DKIM e DMARC. Os e-mails contêm links encurtados que redirecionam as vítimas para uma cópia falsa do portal de login do Google Workspace. Uma vez que as credenciais são inseridas, elas são imediatamente coletadas pelos atacantes. Em março de 2025, 10,88% dos e-mails de phishing globalmente utilizaram a infraestrutura do AppSheet. As defesas tradicionais falham em detectar esses ataques, pois confiam na reputação da infraestrutura do Google. Para mitigar esses riscos, é necessário implementar análises contextuais que possam identificar discrepâncias entre o remetente e o conteúdo da mensagem, além de políticas dinâmicas que monitorem interações típicas entre serviços e usuários.

O Salty2FA é um novo kit de phishing que tem se destacado por sua capacidade de contornar métodos de autenticação de dois fatores (2FA), colocando em risco diversas indústrias, especialmente nos setores financeiro, energético e de telecomunicações. Identificado em campanhas nos EUA e na Europa, o kit utiliza uma cadeia de execução em múltiplas etapas e infraestrutura evasiva para interceptar credenciais e códigos 2FA. A análise de um caso real revelou que um funcionário recebeu um e-mail disfarçado de solicitação de correção de pagamento, levando-o a uma página de login falsa da Microsoft. A partir daí, as credenciais foram roubadas e, se a conta tivesse 2FA, o kit poderia interceptar os códigos de verificação. Para mitigar os riscos associados ao Salty2FA, as equipes de segurança devem focar na detecção de comportamentos, realizar análises em sandbox e reforçar políticas de autenticação multifatorial, priorizando tokens de aplicativo ou hardware em vez de SMS. A adoção de sandboxes interativas, como o ANY.RUN, pode aumentar a eficiência das operações de segurança, permitindo investigações mais rápidas e precisas.

Os provedores de serviços gerenciados (MSPs) e provedores de serviços de segurança gerenciados (MSSPs) enfrentam uma crescente pressão para oferecer resultados robustos em cibersegurança, em um cenário de ameaças em ascensão e requisitos de conformidade em evolução. Os clientes buscam proteção eficaz sem a necessidade de gerenciar a cibersegurança por conta própria, o que exige que os provedores equilibrem essas demandas crescentes com a eficiência operacional. Muitas vezes, esses provedores ainda dependem de processos manuais que dificultam a consistência e a escalabilidade dos serviços. A automação surge como uma solução viável, permitindo a otimização de tarefas repetitivas e a melhoria da eficiência. O artigo destaca que a automação pode reduzir em até 70% o tempo gasto em tarefas como avaliações de risco, desenvolvimento de políticas e relatórios de progresso. Além disso, apresenta um guia prático para a implementação da automação, que inclui a avaliação de processos atuais, definição de metas, seleção de modelos de implantação e treinamento das equipes. A automação não apenas melhora a eficiência, mas também permite que os provedores entreguem serviços de alta qualidade de forma consistente, aumentando a satisfação do cliente e a capacidade de crescimento.

O Comitê Selecionado da Câmara dos EUA sobre a China emitiu um alerta sobre uma série de campanhas de espionagem cibernética altamente direcionadas, supostamente ligadas à República Popular da China (RPC), em meio a negociações comerciais tensas entre os EUA e a China. As campanhas têm como alvo organizações e indivíduos envolvidos na política comercial e diplomática entre os dois países, incluindo agências governamentais dos EUA, empresas, escritórios de advocacia em Washington e grupos de reflexão. Os atacantes, identificados como APT41, usaram e-mails de phishing se passando pelo congressista republicano John Robert Moolenaar para enganar os destinatários e obter acesso não autorizado a sistemas e informações sensíveis. O objetivo final era roubar dados valiosos, utilizando serviços de software e nuvem para ocultar suas atividades. O ataque mais recente envolveu um e-mail que continha um anexo malicioso que, ao ser aberto, implantava malware para coletar dados sensíveis. O comitê acredita que essas ações são parte de uma operação de espionagem cibernética apoiada pelo estado chinês, visando influenciar as deliberações políticas dos EUA e obter vantagens nas negociações comerciais.

A Adobe emitiu um alerta sobre uma vulnerabilidade crítica, identificada como CVE-2025-54236, que afeta suas plataformas Adobe Commerce e Magento Open Source. Com uma pontuação CVSS de 9.1, a falha é classificada como um problema de validação inadequada de entrada, permitindo que atacantes possam assumir o controle de contas de clientes através da API REST do Commerce. A vulnerabilidade impacta diversas versões do Adobe Commerce e Magento, incluindo versões anteriores a 2.4.9-alpha2 e 2.4.8-p2, entre outras. Embora a Adobe não tenha conhecimento de explorações ativas, a empresa lançou um hotfix e implementou regras de firewall de aplicação web (WAF) para proteger os ambientes contra tentativas de exploração. A empresa de segurança Sansec comparou essa vulnerabilidade a outras falhas significativas na história do Magento, como o Shoplift e o CosmicSting. Além disso, a Adobe também corrigiu uma vulnerabilidade crítica no ColdFusion, que poderia permitir gravações arbitrárias no sistema de arquivos. É essencial que os comerciantes que utilizam essas plataformas tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

Um novo ataque de phishing foi identificado, utilizando convites do Calendário iCloud da Apple para enganar usuários. Os criminosos enviam e-mails maliciosos disfarçados como notificações de compra, utilizando o endereço noreply@email.apple.com, que é legítimo, para evitar filtros de spam. O golpe alerta sobre um pagamento de US$ 599, levando as vítimas a acreditarem que foram vítimas de uma fraude. Ao ligarem para os números fornecidos, os usuários são convencidos a instalar softwares que permitem o acesso remoto aos seus computadores, possibilitando o roubo de dados pessoais e financeiros. O ataque é tecnicamente simples, mas eficaz, pois utiliza ferramentas autênticas para ganhar credibilidade. Especialistas recomendam cautela ao receber convites inesperados e a verificação da procedência antes de qualquer ação.

O Departamento do Tesouro dos EUA, através do Escritório de Controle de Ativos Estrangeiros (OFAC), impôs sanções a uma vasta rede de centros de golpes cibernéticos no Sudeste Asiático, que têm fraudado cidadãos americanos em bilhões de dólares. A ação, anunciada pelo Subsecretário John K. Hurley, designou 19 entidades e indivíduos em Mianmar e Camboja, congelando ativos nos EUA e proibindo transações com as partes bloqueadas. Entre os alvos estão operadores em Shwe Kokko, um conhecido centro de fraudes cibernéticas, que opera sob a proteção do Exército Nacional Karen (KNA). Os golpistas utilizam táticas de coerção, como trabalho forçado e abuso físico, para executar fraudes relacionadas a investimentos em criptomoedas. Em Camboja, antigos cassinos foram transformados em centros de golpes, onde trabalhadores traficados realizam fraudes online. Com perdas superiores a 10 bilhões de dólares para os americanos em 2024, um aumento de 66% em relação ao ano anterior, as sanções visam desmantelar as estruturas financeiras que sustentam esses crimes. A partir de agora, pessoas e entidades nos EUA devem bloquear todas as transações com as partes designadas, sob pena de sanções civis e criminais.

Pesquisadores de segurança da ThreatFabric MTI descobriram um novo trojan bancário para Android, chamado RatOn, que combina táticas clássicas de sobreposição e relé NFC com acesso remoto completo e capacidades de Sistema de Transferência Automatizada (ATS). Emergiu em 5 de julho de 2025 e evoluiu até 29 de agosto de 2025, representando a primeira integração conhecida de ataques de relé NFC em um framework de Trojan de Acesso Remoto.

O ataque começa quando as vítimas baixam um APK malicioso disfarçado de instalador de aplicativos de sites adultos da República Tcheca e da Eslováquia. Após a instalação, o trojan solicita permissões de Acessibilidade e Administrador do Dispositivo, permitindo que opere em segundo plano. RatOn monitora continuamente o estado do dispositivo, enviando capturas de tela e descrições textuais dos elementos da interface do usuário para seu servidor de controle.

Uma análise de segurança revelou que câmeras corporais utilizadas por forças policiais nos EUA estão transmitindo metadados sensíveis para servidores na China, utilizando a porta TLS 9091, uma prática incomum que levanta preocupações sobre a integridade das evidências digitais. A transferência ocorre através do aplicativo Viidure, que permite o envio direto de vídeos gravados. A análise de pacotes identificou três pontos finais TLS, sendo um deles associado à rede da Huawei. A falta de validação de certificados no aplicativo expõe informações críticas, como identificadores de dispositivos e credenciais de usuários, comprometendo a anonimidade dos oficiais e a cadeia de custódia das evidências. Para mitigar essas vulnerabilidades, recomenda-se a implementação de autenticação mútua TLS e a realocação da infraestrutura em nuvem para jurisdições confiáveis. A situação destaca a necessidade urgente de reforçar a segurança cibernética nas operações policiais, especialmente em um cenário onde a integridade das evidências é crucial para processos judiciais.

Pesquisadores de cibersegurança da CYFIRMA identificaram um infostealer sofisticado, denominado Salat Stealer (ou WEB_RAT), que opera com uma infraestrutura avançada de comando e controle (C2) para extrair dados sensíveis de sistemas Windows. Este malware é especialmente eficaz na exfiltração de credenciais de navegadores, informações de carteiras de criptomoedas e dados de sessão, utilizando diversas técnicas de evasão para evitar a detecção. O arquivo analisado, com 3,14 MB, apresenta um alto valor de entropia, indicando forte ofuscação. Ao ser executado, o Salat Stealer implementa mecanismos de persistência, como entradas no registro e tarefas agendadas com nomes enganosos, para se disfarçar como processos legítimos do sistema.

Com a chegada da temporada orçamentária, a cibersegurança frequentemente enfrenta questionamentos e despriorização nas empresas. Um estudo da Gartner revela que 88% dos conselhos administrativos veem a cibersegurança como um risco de negócios, não apenas uma questão de TI. Para que os líderes de segurança consigam elevar o perfil da cibersegurança, é crucial que comuniquem sua importância em termos de continuidade de negócios, conformidade e impacto financeiro. Estratégias como alinhar a segurança com os objetivos empresariais, construir um framework focado em riscos e utilizar padrões da indústria são essenciais. Além disso, a validação contínua da segurança, através de testes automatizados, ajuda a identificar vulnerabilidades antes que se tornem problemas. A comunicação clara e adaptada para diferentes públicos dentro da organização é fundamental para demonstrar como as decisões de segurança impactam diretamente a receita e a reputação da empresa. Em um cenário de ameaças cibernéticas em constante evolução, a cibersegurança deve ser vista como um facilitador de negócios, e não apenas como um centro de custo.

Uma nova campanha de cibersegurança identificada pela Darktrace revela um sofisticado malware de criptomineração que utiliza o mapa de caracteres do Windows para se infiltrar em sistemas. Conhecido como cryptojacking, esse tipo de ataque utiliza o poder de processamento dos computadores para minerar criptomoedas em benefício dos hackers. A análise foi conduzida pelas especialistas Keanna Grelicha e Tara Gould, que detectaram um comportamento anômalo em um cliente, indicando a presença de um novo agente PowerShell. O malware, denominado NBMiner, foi introduzido através de um loader Autolt ofuscado, que se disfarça sob camadas de código para evitar a detecção. O ataque se inicia com a execução do programa ‘charmap.exe’, que verifica se ferramentas de segurança estão ativas antes de se conectar a um pool de mineração. Embora inicialmente cause aumento no consumo de energia e lentidão do sistema, o cryptojacking pode levar a problemas mais sérios, como roubo de dados pessoais. A Darktrace conseguiu mitigar a ameaça ao bloquear a conexão do dispositivo infectado com os servidores dos hackers, destacando a importância de medidas de segurança eficazes.

No dia 20 de agosto, em Shoreditch, Londres, a Surfshark realizou uma ação de marketing inusitada para promover o uso de VPNs. O artista de rua KingMurals criou um mural ao vivo, destacando a importância das VPNs de forma divertida e acessível. O mural continha a palavra ‘VPN’ repetida 23 vezes, acompanhada de mensagens absurdas que enfatizavam que, independentemente de suas funções, o importante é que uma VPN faça seu trabalho. A campanha visa desmistificar o uso de VPNs, que muitas vezes é cercado por jargões técnicos, tornando a decisão de proteger a identidade digital mais simples e direta. Regimantas Urbanas, CMO da Surfshark, destacou que a simplicidade é uma prioridade para os consumidores, que buscam aplicativos intuitivos e informações claras. A ação também reflete um aumento no uso de VPNs, impulsionado por novas regulamentações de verificação de idade no Reino Unido e uma crescente conscientização sobre privacidade digital. A Surfshark acredita que não usar uma VPN está se tornando uma opção inviável, reforçando a ideia de que as VPNs são essenciais no cotidiano.

A Zoom Video Communications anunciou uma atualização de segurança que corrige várias falhas em seu software, incluindo o Zoom Workplace e clientes para Windows e macOS. A atualização aborda uma vulnerabilidade crítica de ‘Autorização Ausente’ (CVE-2025-49459) que pode permitir que atacantes realizem ações sem a devida permissão, comprometendo dados sensíveis e a integridade do sistema. Além disso, foram corrigidas diversas vulnerabilidades de severidade média, como problemas de autorização e injeção de argumentos, que podem permitir que usuários excedam níveis de acesso permitidos. A empresa recomenda fortemente que os usuários instalem a versão mais recente imediatamente para se proteger contra possíveis explorações. A atualização é especialmente urgente, considerando que a Zoom já havia corrigido uma falha crítica no mês anterior. A recorrência de vulnerabilidades de alto impacto destaca os riscos de manter software desatualizado, que pode deixar tanto usuários individuais quanto ambientes corporativos vulneráveis a ataques, como exfiltração de dados e compromissos totais do sistema.

Uma vulnerabilidade crítica, identificada como SessionReaper (CVE-2025-54236), foi descoberta no Magento, levando a Adobe a interromper seu ciclo regular de atualizações para lançar um patch de emergência. Essa falha é considerada uma das mais severas na história do Magento, comparável a incidentes anteriores como Shoplift e TrojanOrder. A vulnerabilidade permite que atacantes, com acesso autenticado, manipulem configurações administrativas e injetem códigos maliciosos através da API do Magento. A exploração dessa falha pode ocorrer rapidamente, uma vez que ferramentas automatizadas de escaneamento devem ser utilizadas para identificar instâncias não corrigidas logo após a publicação do patch. A Adobe notificou seus clientes do Commerce Cloud em 4 de setembro, mas os usuários de Magento open source só foram informados em 9 de setembro, levantando preocupações sobre a transparência na distribuição de atualizações de segurança. Para mitigar os riscos, os comerciantes devem aplicar o patch imediatamente, revisar credenciais de administrador e implementar autenticação multifatorial. O cenário destaca a necessidade urgente de vigilância e defesa em camadas para proteger as lojas Magento contra essa vulnerabilidade crítica.

O Distrito Escolar do Condado de Cherokee (CCSD) notificou 46.119 pessoas sobre uma violação de dados resultante de um ataque cibernético ocorrido em março de 2025. Os dados comprometidos incluem números de Seguro Social, números de carteira de motorista, números de passaporte, informações financeiras e dados de saúde. Este ataque, reivindicado pelo grupo de ransomware Interlock, é considerado a maior violação de dados no setor educacional dos EUA até o momento neste ano. O ataque, que ocorreu em 15 de março, causou interrupções significativas na rede do distrito por cerca de duas semanas. A Interlock afirmou ter roubado 624 GB de dados, incluindo documentos fiscais e informações de funcionários. Em resposta, o CCSD se comprometeu a oferecer serviços de monitoramento de crédito gratuitos aos afetados e afirmou que está trabalhando com autoridades e especialistas em segurança para mitigar os danos. Até agora, 30 ataques confirmados foram registrados no setor educacional dos EUA em 2025, com mais de 115.000 registros comprometidos. O CCSD, que atende cerca de 8.000 alunos, está avaliando os registros afetados e se comunicará diretamente com os impactados.

A Cornwell Quality Tools notificou 103.782 pessoas sobre uma violação de dados ocorrida em dezembro de 2024, que comprometeu números de Seguro Social, informações médicas e dados financeiros. O grupo de ransomware Cactus assumiu a responsabilidade pelo ataque em fevereiro de 2025, alegando ter roubado 4,6 TB de dados, incluindo documentos sensíveis como cópias de carteiras de motorista e declarações fiscais. A empresa não confirmou se pagou um resgate ou como a violação ocorreu, mas informou que tomou medidas imediatas para proteger seus sistemas após detectar atividades incomuns em sua rede. Além disso, a Cornwell está oferecendo monitoramento de crédito gratuito por 12 meses e um seguro contra fraudes de identidade para as vítimas. Este não é o primeiro ataque de ransomware enfrentado pela empresa, que já havia notificado anteriormente sobre uma violação em setembro de 2022. O grupo Cactus, que começou a operar em abril de 2023, é conhecido por seu modelo de ransomware como serviço, visando principalmente fabricantes. Em 2024, foram registrados 86 ataques confirmados a fabricantes nos EUA, com a violação da Cornwell sendo a maior em termos de registros comprometidos.

Pesquisadores de cibersegurança revelaram uma campanha de phishing que utiliza um malware bancário transformado em um trojan de acesso remoto chamado MostereRAT. Este ataque emprega técnicas sofisticadas de evasão para assumir o controle total de sistemas comprometidos, roubar dados sensíveis e estender suas funcionalidades por meio de plugins secundários. O malware é desenvolvido em uma linguagem de programação visual chamada Easy Programming Language (EPL), que facilita o uso por pessoas que não dominam o inglês. Os e-mails, direcionados principalmente a usuários japoneses, enganam as vítimas com iscas relacionadas a consultas comerciais, levando-as a baixar um documento malicioso. Uma vez instalado, o MostereRAT pode desativar mecanismos de segurança do Windows, bloquear tráfego de rede de programas de segurança e executar uma variedade de comandos, como capturar teclas e tirar screenshots. Além disso, a pesquisa também destaca uma nova campanha que utiliza técnicas semelhantes para distribuir um ladrão de informações chamado MetaStealer. Essas ameaças representam um risco significativo, especialmente devido à sua capacidade de contornar soluções de segurança e à necessidade de interação manual das vítimas, o que dificulta a detecção e prevenção. A educação dos usuários sobre engenharia social continua sendo crucial para mitigar esses riscos.

Um novo malware para Android, denominado RatOn, evoluiu de uma ferramenta básica para um sofisticado trojan de acesso remoto, capaz de realizar fraudes financeiras. De acordo com um relatório da ThreatFabric, o RatOn combina ataques de sobreposição tradicionais com transferências automáticas de dinheiro e funcionalidades de comunicação por campo próximo (NFC), tornando-se uma ameaça poderosa. O malware visa aplicativos de carteira de criptomoedas, como MetaMask e Trust, e pode realizar transferências automáticas utilizando um aplicativo bancário específico da República Tcheca.

Recentemente, pesquisadores da ReliaQuest identificaram uma nova técnica de phishing que utiliza ferramentas de cliente HTTP, como Axios, em conjunto com a funcionalidade Direct Send da Microsoft. Essa combinação tem permitido que atacantes formem um ‘pipeline de ataque altamente eficiente’, resultando em um aumento de 241% na atividade do agente de usuário Axios entre junho e agosto de 2025. As campanhas de phishing têm se aproveitado do Direct Send para simular usuários confiáveis e garantir que suas mensagens evitem os gateways de segurança, alcançando uma taxa de sucesso de 70% em algumas operações. Os ataques visam principalmente executivos e gerentes de setores como finanças e saúde, mas rapidamente se expandiram para todos os usuários. Os criminosos utilizam Axios para interceptar e modificar requisições HTTP, capturando tokens de sessão e códigos de autenticação multifatorial em tempo real. Além disso, os e-mails fraudulentos frequentemente contêm documentos PDF com QR codes maliciosos que redirecionam para páginas de login falsas, facilitando o roubo de credenciais. Para mitigar esses riscos, as organizações devem considerar desabilitar o Direct Send, implementar políticas de anti-spoofing e treinar funcionários para reconhecer e-mails de phishing.

Um novo tipo de malware foi identificado na infraestrutura de honeypots da Akamai Hunt, visando APIs Docker mal configuradas para obter acesso root completo e estabelecer persistência a longo prazo. Observado pela primeira vez em agosto de 2025, essa variante se diferencia de descobertas anteriores ao bloquear o acesso de outros atacantes e incorporar múltiplas ferramentas de infecção, preparando o terreno para uma possível botnet distribuída.

O ataque se inicia com um pedido HTTP POST à API remota do daemon Docker, instruindo-o a criar um contêiner Alpine Linux com o sistema de arquivos do host montado. O contêiner executa um comando shell codificado em Base64 que instala ferramentas como curl e Tor, baixa um script secundário de um serviço oculto Tor e altera a configuração SSH do host para permitir login root e adicionar uma chave pública maliciosa para acesso remoto.

A Dynatrace confirmou que dados de clientes armazenados em seu ambiente Salesforce foram comprometidos após um ataque cibernético que visou a aplicação Drift da Salesloft. O incidente permitiu acesso não autorizado a dados do CRM da Salesforce em várias organizações, levando a medidas imediatas de resposta por parte da Salesloft e da Salesforce, que desativaram integrações comprometidas e notificaram os clientes afetados. Os atacantes exploraram a plataforma de comunicação e engajamento de vendas Drift, que mantinha conexões com diversas instâncias do Salesforce. Embora a Dynatrace tenha sido uma das empresas afetadas, a companhia assegurou que o incidente se restringiu a seus sistemas de operações comerciais no Salesforce, sem impacto em produtos ou serviços principais. Os dados comprometidos incluíam informações básicas de contato comercial, como nomes de representantes e identificadores de empresas, mas não houve exposição de casos de suporte ao cliente, uma vez que a Dynatrace não utiliza a funcionalidade de gerenciamento de casos do Salesforce. Após detectar atividades suspeitas, a Dynatrace desativou imediatamente a conexão e iniciou uma investigação interna, colaborando com especialistas em cibersegurança. A empresa continua monitorando atividades suspeitas relacionadas ao incidente e aconselha os clientes a permanecerem vigilantes contra tentativas de phishing e engenharia social que possam explorar os dados comprometidos.

Uma campanha de intrusão sofisticada, iniciada em setembro de 2024, explorou uma vulnerabilidade no instalador do EarthTime da DeskSoft para disseminar diversas famílias de malware e realizar reconhecimento de rede, roubo de credenciais e exfiltração de dados por meio de sessões RDP tuneladas. O ataque começou quando um usuário executou um instalador do EarthTime adulterado, que, ao ser iniciado, ativou uma cadeia de execução anômala que injetou o SectopRAT, um RAT .NET, no processo do MSBuild. Os atacantes estabeleceram persistência ao copiar o payload para a pasta de inicialização e criaram uma conta de administrador local para acesso contínuo. A movimentação lateral foi realizada principalmente por meio de padrões de logon RDP, enquanto um ataque DCSync recuperou credenciais de domínio. A exfiltração de dados foi realizada via FTP em texto claro, expondo credenciais durante a transferência. Este incidente destaca a necessidade crítica de validação robusta de certificados e monitoramento de atividades anômalas em ambientes corporativos.

O SpamGPT é uma nova ferramenta de cibercrime que combina inteligência artificial com plataformas de marketing por e-mail, facilitando a execução de campanhas de phishing em larga escala. Comercializada em fóruns clandestinos como uma solução de “spam como serviço”, a ferramenta reduz drasticamente a barreira técnica para criminosos. Com uma interface que imita softwares de marketing legítimos, o SpamGPT automatiza quase todas as etapas de uma operação de e-mail fraudulenta. Seu núcleo é um framework criptografado que inclui um assistente de IA, o “KaliGPT”, que gera textos persuasivos e personaliza conteúdos para alvos específicos, eliminando a necessidade de habilidades de escrita. Além disso, oferece painéis em tempo real para monitoramento de entregabilidade e métricas de engajamento, características normalmente restritas a grandes empresas. O SpamGPT permite que até iniciantes lancem operações de spam em massa, utilizando técnicas avançadas de spoofing para contornar verificações de segurança. Essa evolução no cibercrime torna os ataques de phishing mais escaláveis e convincentes, exigindo que as organizações adotem medidas robustas de segurança por e-mail, como políticas DMARC, SPF e DKIM, além de soluções de segurança baseadas em IA para detectar padrões de phishing gerados por IA.

Um ataque à cadeia de suprimentos de software comprometeu múltiplos pacotes do npm após o roubo da conta de um mantenedor, Josh Junon, em um ataque de phishing. O e-mail fraudulento, que se disfarçou como uma comunicação oficial do npm, induziu Junon a inserir suas credenciais e token de autenticação de dois fatores (2FA) em uma página falsa. Isso permitiu que os atacantes publicassem versões maliciosas de 20 pacotes populares, que juntos somam mais de 2 bilhões de downloads semanais. O malware injetado foi projetado para interceptar solicitações de transações de criptomoedas, substituindo o endereço da carteira de destino por um controlado pelos atacantes. A análise do código malicioso revelou que ele atua como um interceptor baseado em navegador, comprometendo o tráfego de rede e APIs de aplicativos. O incidente destaca a vulnerabilidade dos ecossistemas de pacotes, como o npm, que são alvos frequentes devido à sua popularidade. Especialistas alertam para a necessidade de vigilância constante e fortalecimento das práticas de segurança nas cadeias de suprimentos de software.

Pesquisadores de segurança cibernética identificaram um conjunto de 45 domínios associados a grupos de ameaças ligados à China, como Salt Typhoon e UNC4841, com registros que datam de maio de 2020. A análise, realizada pela Silent Push, revela que esses domínios compartilham infraestrutura com atividades anteriores, incluindo a exploração de uma vulnerabilidade crítica (CVE-2023-2868) em dispositivos Barracuda Email Security Gateway. Salt Typhoon, ativo desde 2019, ganhou notoriedade por atacar provedores de telecomunicações nos EUA e é supostamente operado pelo Ministério da Segurança do Estado da China. A pesquisa também destacou o uso de endereços de e-mail Proton Mail para registrar domínios com informações falsas. A recomendação é que organizações que possam estar em risco de espionagem chinesa verifiquem seus logs DNS dos últimos cinco anos em busca desses domínios e seus subdomínios. O alerta é especialmente relevante considerando a crescente preocupação com a cibersegurança em um cenário global cada vez mais complexo.

Um novo relatório da VirusTotal, da Google, revela uma técnica inovadora utilizada por hackers para ocultar malwares em arquivos de imagem SVG (Scalable Vector Graphics). Embora esses arquivos sejam comumente considerados inofensivos, eles podem conter códigos maliciosos embutidos. A análise identificou uma campanha que utilizou mais de 500 imagens SVG para disseminar malwares, imitando agências governamentais e conseguindo evitar a detecção por antivírus tradicionais. A ameaça foi descoberta após a plataforma Code Insight, que utiliza inteligência artificial para identificar vírus, começar a escanear arquivos SVG. As imagens continham códigos JavaScript disfarçados como páginas HTML, levando os usuários a um site falso do judiciário da Colômbia. Ao interagir com a imagem, o usuário era induzido a baixar um arquivo zip protegido por senha, que, ao ser extraído, revelava um executável malicioso. Essa técnica de ocultação foi tão eficaz que 44 das 523 imagens analisadas passaram despercebidas pelos antivírus. A situação levou à decisão da Microsoft de desabilitar a renderização de SVGs em seu serviço de e-mail Outlook, destacando a gravidade da ameaça.

Um vazamento significativo de dados expôs as operações do grupo cibernético Kimsuky, vinculado à Coreia do Norte, revelando táticas e técnicas avançadas de ataque. O conjunto de dados vazados mostra operações sofisticadas de roubo de credenciais, com foco em redes da Coreia do Sul e Taiwan, integrando infraestrutura chinesa. Entre as descobertas, destaca-se o desenvolvimento de malware avançado e a implementação de um rootkit Linux, que permite acesso persistente e oculto aos sistemas. Além disso, o uso de ferramentas de Reconhecimento Óptico de Caracteres (OCR) para analisar documentos de segurança em coreano sugere tentativas de clonar sistemas de Infraestrutura de Chave Pública (PKI) da Coreia do Sul. O vazamento inclui arquivos de certificados PKI comprometidos, evidenciando a penetração em infraestruturas digitais críticas. O operador Kim demonstra uma evolução preocupante nas operações cibernéticas de nações-estado, utilizando recursos chineses para expandir seu alcance e dificultar a atribuição de ataques. Essa situação representa um risco elevado para a segurança cibernética na região e, potencialmente, para o Brasil, dada a interconexão global das redes.

O ransomware LunaLock emergiu como uma nova ameaça, atacando artistas independentes e clientes de arte digital ao comprometer a plataforma Artists & Clients, um mercado popular para obras encomendadas. Em 8 de setembro de 2025, os operadores do LunaLock anunciaram que conseguiram invadir a infraestrutura da plataforma, exfiltrando arquivos sensíveis e criptografando bancos de dados críticos, exigindo um resgate substancial em criptomoeda. A análise forense preliminar revelou que os atacantes exploraram uma vulnerabilidade zero-day no módulo de autenticação da aplicação web, utilizando uma injeção SQL para contornar a autenticação multifatorial e obter privilégios administrativos. Uma vez dentro, eles implantaram um carregador personalizado que desativou a proteção em tempo real do Windows Defender e um módulo de exfiltração que buscou arquivos de arte e dados pessoais dos clientes, criptografando-os com AES-256-GCM. O ransomware, por sua vez, utilizou RSA-4096 para criptografar os arquivos, adicionando a extensão .luna. Os atacantes ameaçaram publicar os dados roubados em sites de vazamento caso o resgate não fosse pago em até 72 horas. A equipe de segurança da Artists & Clients já tomou medidas, como a desativação dos servidores afetados e a implementação de agentes de detecção e resposta em endpoints para mitigar a situação. Especialistas em cibersegurança recomendam que organizações do setor criativo adotem controles de acesso de menor privilégio e mantenham backups offline para se protegerem contra tais ataques.

Durante uma coletiva de imprensa em 1º de setembro de 2025, o presidente da Venezuela, Nicolás Maduro, apresentou um smartphone Huawei Mate X6, presente do presidente chinês Xi Jinping, e fez declarações audaciosas sobre a segurança do dispositivo. Maduro afirmou que o telefone é ‘inhackeável’ por agências de inteligência dos EUA, incluindo suas aeronaves de espionagem e satélites. Essa afirmação se insere em um contexto de tensões geopolíticas entre China e Estados Unidos, onde a Huawei, fabricante de equipamentos de telecomunicações, enfrenta restrições severas desde 2020 devido a preocupações de segurança nacional. As alegações de Maduro podem estar relacionadas ao sistema operacional HarmonyOS e aos processadores Kirin da Huawei, que visam reduzir a dependência de tecnologias controladas pelos EUA. No entanto, especialistas em cibersegurança expressam ceticismo quanto à possibilidade de qualquer dispositivo ser realmente ‘inhackeável’, dado que smartphones modernos apresentam múltiplas vulnerabilidades. Além disso, vários países europeus, como a Alemanha, impuseram restrições ao uso de equipamentos da Huawei em infraestruturas críticas, citando preocupações sobre a possibilidade de a empresa ser obrigada a colaborar com atividades de espionagem. A exibição do dispositivo por Maduro simboliza a busca da Venezuela por independência tecnológica e seu alinhamento com os interesses geopolíticos da China.

A Salesloft confirmou um vazamento de dados relacionado ao seu aplicativo Drift, que teve início com a violação de sua conta no GitHub. A investigação conduzida pela Mandiant, subsidiária do Google, revelou que o ator de ameaças identificado como UNC6395 teve acesso à conta do GitHub da Salesloft entre março e junho de 2025. Durante esse período, o invasor conseguiu baixar conteúdos de múltiplos repositórios, adicionar um usuário convidado e estabelecer fluxos de trabalho. Além disso, foram realizadas atividades de reconhecimento nas aplicações Salesloft e Drift. Embora não haja evidências de atividades além do reconhecimento, os atacantes conseguiram acessar o ambiente da Amazon Web Services (AWS) do Drift e obter tokens OAuth, que foram utilizados para acessar dados de integrações tecnológicas de clientes do Drift. Em resposta ao incidente, a Salesloft isolou a infraestrutura do Drift e tomou medidas de segurança, como a rotação de credenciais e a melhoria do controle de segmentação entre as aplicações. A Salesforce, que havia suspenso temporariamente a integração com a Salesloft, reestabeleceu a conexão, exceto para o aplicativo Drift, que permanecerá desativado até nova ordem.

Pesquisadores da empresa ERNW descobriram uma vulnerabilidade crítica no Windows Hello, sistema de login que utiliza reconhecimento facial, permitindo que hackers acessem computadores usando o rosto de outra pessoa. Denominado Faceplant, o ataque foi apresentado na conferência Black Hat 2025. O método envolve o cadastro do rosto do hacker em um computador que gera um modelo biométrico. Após isso, os criminosos extraem e injetam esse modelo na base de dados biométrica da vítima, permitindo que se passem pelo usuário legítimo. Essa técnica é mais sofisticada que o ataque anterior, conhecido como Face Swap, que trocava identificadores entre contas já cadastradas. Para realizar o ataque, o hacker precisa de permissões de administrador, que podem ser obtidas através de malwares ou phishing. Para se proteger, recomenda-se desconfiar de mensagens suspeitas e utilizar autenticação em dois fatores.

Um estudo abrangente realizado ao longo de três anos em Austrália, Canadá, Nova Zelândia e Reino Unido revelou tendências alarmantes nas operações de ransomware, com organizações australianas registrando 135 ataques documentados entre 2020 e 2022. A pesquisa analisou 865 incidentes de ransomware e destacou a evolução sofisticada das empresas cibernéticas, que agora adotam modelos de ransomware-as-a-service (RaaS). Nesse modelo, grupos principais desenvolvem o malware e gerenciam os pagamentos, enquanto afiliados realizam as invasões e negociações de resgate. O grupo Conti foi o mais ativo, com 141 ataques, seguido pelas variantes do LockBit, que contabilizaram 129 incidentes. O setor industrial foi o mais afetado, com o estudo utilizando inteligência artificial para classificar as organizações atacadas em 13 setores, alcançando 89% de precisão. Os resultados ressaltam a necessidade urgente de medidas de cibersegurança aprimoradas nas infraestruturas críticas australianas, à medida que os grupos de ransomware continuam a evoluir suas táticas e expandir suas capacidades operacionais.

Uma nova campanha de malware, chamada Atomic macOS Stealer (AMOS), foi descoberta, visando usuários do macOS ao se disfarçar como software pirata. Os atacantes atraem as vítimas para sites maliciosos que oferecem versões ‘crackeadas’ de aplicativos populares. O malware utiliza técnicas enganosas de instalação que exploram as permissões do Gatekeeper do macOS e comandos do Terminal. Uma vez instalado, o AMOS coleta informações sensíveis, como credenciais, cookies de navegador e dados de carteiras de criptomoedas, antes de exfiltrar essas informações para servidores controlados pelos atacantes. As organizações são aconselhadas a reforçar as configurações do Gatekeeper, desativar a instalação de software não assinado e treinar os usuários sobre os riscos associados ao software pirata. A detecção e resposta gerenciadas são essenciais para mitigar os riscos associados a essa ameaça, que representa um sério desafio à segurança, especialmente em ambientes corporativos que utilizam dispositivos Apple.

Autoridades federais dos Estados Unidos estão investigando um sofisticado ataque de malware que visou partes interessadas nas negociações comerciais entre os EUA e a China. Especialistas em cibersegurança associam a operação aos serviços de inteligência chineses. O ataque foi realizado por meio de um e-mail fraudulento que parecia ser enviado pelo representante John Moolenaar, presidente do Comitê Selecionado da Câmara sobre Competição Estratégica entre os EUA e o Partido Comunista Chinês. A mensagem maliciosa foi distribuída em julho para grupos comerciais, escritórios de advocacia e agências governamentais envolvidos nas discussões bilaterais. A campanha de phishing, atribuída ao grupo APT41, utilizou táticas de engenharia social, solicitando que os destinatários revisassem uma legislação proposta em um anexo. A abertura desse anexo poderia ter implantado malware, permitindo acesso extensivo à rede dos atacantes. A investigação, que envolve o FBI e a Polícia do Capitólio dos EUA, foi desencadeada após questionamentos sobre os e-mails suspeitos. A embaixada chinesa em Washington negou envolvimento, afirmando que a China se opõe a todos os tipos de ciberataques. A investigação continua ativa para determinar se os sistemas ou informações sensíveis foram comprometidos.

Um grupo de pesquisadores de segurança cibernética demonstrou uma nova técnica que utiliza a poluição de parâmetros HTTP para contornar firewalls de aplicações web (WAFs) e executar scripts maliciosos em aplicações ASP.NET. A técnica se baseia no comportamento de concatenação de strings de consulta do ASP.NET, onde parâmetros duplicados são mesclados em uma única entrada separada por vírgulas. Ao distribuir fragmentos de carga útil em múltiplos parâmetros, os pesquisadores conseguiram ocultar operações maliciosas das regras de detecção convencionais dos WAFs.

Pesquisadores de cibersegurança da Wiz descobriram uma campanha de phishing sofisticada que explora o Amazon Simple Email Service (SES) para realizar ataques em larga escala. Identificada em maio de 2025, a campanha começou com chaves de acesso da AWS roubadas, um vetor de ataque comum. O que a tornou particularmente perigosa foi a capacidade do atacante de escalar suas permissões de envio de e-mails, passando do modo ‘sandbox’ restrito para acesso de produção sem limitações.

O Wayne Memorial Hospital, localizado em Jesup, Georgia, confirmou um vazamento de dados que afetou 163.440 pessoas, revelando informações sensíveis como números de Seguro Social, senhas, dados financeiros e históricos médicos. O incidente, que ocorreu entre 30 de maio e 3 de junho de 2024, foi atribuído ao grupo de ransomware Monti, que ameaçou divulgar os dados roubados até 8 de julho de 2024. Inicialmente, o hospital havia notificado apenas 2.500 pessoas sobre o vazamento em agosto de 2024, mas atualizou o número após uma investigação forense que revelou o alcance do ataque. O hospital está oferecendo 12 meses de assistência contra fraudes e monitoramento de crédito aos afetados. Monti, que já foi responsável por outros ataques a instituições de saúde, utiliza vulnerabilidades de software para acessar e criptografar dados, exigindo resgates para a devolução das informações. Em 2024, foram registrados 174 ataques de ransomware a provedores de saúde nos EUA, comprometendo cerca de 28,6 milhões de registros, destacando a crescente ameaça a esse setor.

Na última semana, o incidente de segurança envolvendo a Salesloft e a Drift destacou a vulnerabilidade das integrações entre sistemas. Ataques direcionados resultaram no roubo de tokens OAuth, permitindo acesso a dados do Salesforce de várias empresas de tecnologia de grande porte. A Salesloft decidiu retirar temporariamente a Drift do ar para revisar a aplicação e aumentar a segurança do sistema. Entre as empresas afetadas estão Cloudflare, Google Workspace e Palo Alto Networks. Além disso, o artigo menciona outras ameaças ativas, como a exploração de uma vulnerabilidade no Sitecore, que permite execução remota de código, e um novo backdoor do grupo de hackers russo APT28, que visa usuários do Microsoft Outlook. O uso de inteligência artificial por hackers também foi destacado, com ferramentas como HexStrike AI sendo utilizadas para explorar falhas de segurança. O artigo enfatiza a importância de manter sistemas atualizados e monitorar vulnerabilidades ativas para evitar danos significativos.

Pesquisadores de cibersegurança revelaram uma nova campanha de malware sofisticada que utiliza anúncios pagos em motores de busca, como o Google, para disseminar malware a usuários desavisados em busca de ferramentas populares, como o GitHub Desktop. A campanha, que começou a ser observada em dezembro de 2024, tem como alvo empresas de TI e desenvolvimento de software na Europa Ocidental. Os links maliciosos, disfarçados como commits legítimos do GitHub, redirecionam os usuários para um domínio falso, ‘gitpage[.]app’, onde um instalador de software malicioso de 128 MB é baixado. Este instalador é projetado para evitar a detecção por sandboxes de segurança devido ao seu tamanho e utiliza uma rotina de descriptografia que depende de uma unidade de processamento gráfico (GPU), chamada GPUGate. O malware executa scripts em PowerShell com privilégios de administrador, permitindo a adição de exclusões ao Microsoft Defender e a execução de tarefas agendadas para persistência. A análise sugere que os atacantes têm proficiência em russo, indicando uma possível origem russa. Além disso, a campanha está associada ao Atomic macOS Stealer, sugerindo uma abordagem multiplataforma. Este incidente destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger as organizações contra ameaças emergentes.

O artigo explora a origem dos primeiros vírus de computador, destacando o Creeper e o Brain. O Creeper, criado em 1971 por Bob Thomas, foi o primeiro programa autorreplicante, que se movia entre computadores na ARPANET, exibindo a mensagem ‘I’M THE CREEPER: CATCH ME IF YOU CAN!’. Em resposta, surgiu o Reaper, considerado o primeiro antivírus, que tinha a função de eliminar o Creeper. Já em 1986, o Brain, desenvolvido pelos irmãos paquistaneses Basit e Amjad Farooq Alvi, se tornou o primeiro vírus de PC a se disseminar em massa através de disquetes, alterando o nome do volume para ‘© Brain’ e causando lentidão nos drives. Embora ambos os programas não fossem destrutivos, eles marcaram o início de uma longa história de cibersegurança, que evoluiu para ameaças digitais complexas e destrutivas nos dias atuais. O artigo conclui que, enquanto o Creeper foi um experimento inofensivo, o Brain representa a primeira epidemia digital, estabelecendo as bases para a batalha contínua entre malware e antivírus.

Um ataque cibernético conhecido como GhostAction comprometeu 327 usuários do GitHub e 817 repositórios, destacando a sofisticação dos atacantes em manter a infraestrutura maliciosa apenas pelo tempo necessário para coletar credenciais. A análise da GitGuardian revelou que a infraestrutura foi desativada rapidamente após o início das divulgações, indicando um nível profissional de inteligência de ameaças. O ataque não apresentou sobreposição com a recente campanha S1ngularity, sugerindo que diferentes grupos de ameaças estão operando de forma independente. A resposta imediata de organizações e registros de pacotes, como o PyPI, que rapidamente colocou projetos comprometidos em modo somente leitura, ajudou a evitar uma contaminação generalizada da cadeia de suprimentos de software. O incidente ressalta a importância da gestão de segredos em ambientes de CI/CD e a necessidade de monitoramento de segurança aprimorado nos fluxos de trabalho do GitHub Actions. As organizações devem implementar varreduras de segurança abrangentes, rotacionar credenciais comprometidas imediatamente e monitorar modificações não autorizadas nos fluxos de trabalho para prevenir ataques semelhantes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica no WhatsApp, identificada como CVE-2025-55177, que já está sendo explorada por cibercriminosos em campanhas de ataque. Essa falha de zero-day afeta a funcionalidade de sincronização de dispositivos do aplicativo, permitindo que atacantes manipulem mensagens de sincronização e forcem dispositivos a processar conteúdo malicioso. O problema reside em uma verificação de autorização incorreta no framework de sincronização entre dispositivos, classificada como CWE-863. A CISA estabeleceu um prazo até 23 de setembro para que agências federais e organizações de infraestrutura crítica implementem correções. A exploração dessa vulnerabilidade pode levar a acessos não autorizados, exfiltração de dados e instalação de malware, ampliando significativamente o risco para os usuários do WhatsApp. A natureza silenciosa do ataque, que não requer interação do usuário, torna a conscientização tradicional ineficaz contra essa ameaça.

A empresa de cibersegurança Tenable confirmou um grande vazamento de dados que afetou informações de contato de seus clientes. O incidente ocorreu devido a uma exploração de vulnerabilidades em integrações de aplicativos de terceiros, especificamente entre o Salesforce e a plataforma de marketing conversacional Drift da Salesloft. Dados de suporte ao cliente, como descrições de problemas e informações de contato, foram acessados por agentes não autorizados. Apesar do vazamento, a Tenable assegurou que seus produtos principais de avaliação de vulnerabilidades não foram comprometidos. A resposta da empresa incluiu a revogação imediata de credenciais, a remoção da aplicação Drift e a implementação de controles de segurança adicionais. Este incidente ressalta a crescente preocupação com a segurança em ambientes de Software como Serviço (SaaS), onde as integrações de APIs podem aumentar a superfície de ataque. A Tenable também reforçou a importância da gestão de riscos de terceiros e da necessidade de soluções robustas de gerenciamento de postura de segurança em SaaS para prevenir acessos não autorizados e manter a conformidade com normas de proteção de dados.

O artigo aborda a crescente ameaça de fraudes na contratação, onde atacantes se infiltram em empresas disfarçados de funcionários legítimos. O caso de ‘Jordan de Colorado’ ilustra como um novo contratado pode ter um histórico impecável, mas na verdade ser um invasor. Com o aumento do trabalho remoto, as organizações perderam as proteções intuitivas das entrevistas presenciais, permitindo que indivíduos mal-intencionados utilizem identidades falsas, referências forjadas e até deepfakes para obter acesso a sistemas críticos. Um relatório recente revelou que mais de 320 operativos norte-coreanos se infiltraram em empresas como trabalhadores de TI remotos, utilizando perfis gerados por IA e manipulação em tempo real para passar por processos de seleção. O artigo sugere a implementação de um modelo de ‘Zero Standing Privileges’ (ZSP), que limita o acesso a informações e sistemas apenas ao necessário, garantindo que mesmo após a contratação, o acesso seja sempre verificado e controlado. Essa abordagem visa equilibrar segurança e produtividade, evitando que a rigidez das políticas de segurança atrapalhe o fluxo de trabalho.

A Microsoft enfrenta crescente escrutínio após a revelação de que a empresa utilizou engenheiros baseados na China para corrigir falhas no SharePoint, um produto que foi alvo de hackers apoiados pelo Estado. O ataque cibernético afetou centenas de empresas e agências governamentais dos EUA, incluindo o Departamento de Segurança Interna (DHS) e a Administração Nacional de Segurança Nuclear (NNSA). As vulnerabilidades permitiram que os invasores acessassem completamente o conteúdo do SharePoint, executando código remotamente e implantando ransomware. Embora a Microsoft tenha emitido um patch rapidamente, ele foi insuficiente para conter os ataques. A empresa confirmou a participação de uma equipe de engenharia da China, mas afirmou que o trabalho era supervisionado por engenheiros dos EUA. Especialistas em cibersegurança expressaram preocupações sobre as leis chinesas que permitem que agências estatais exijam cooperação de empresas privadas, levantando temores sobre a coleta de inteligência. Em resposta à pressão, a Microsoft anunciou que encerrará o uso de engenheiros da China em projetos do Pentágono e está avaliando sua presença em outros projetos governamentais. A empresa também planeja descontinuar o suporte para o SharePoint On-Premises em julho de 2026, incentivando a migração para seu serviço em nuvem, Azure.