Cibersegurança

À medida que 2025 chega ao fim, os profissionais de segurança enfrentam um cenário alarmante: as estratégias tradicionais de segurança na web tornaram-se obsoletas. Este ano, cinco ameaças principais redefiniram a segurança digital. A primeira, o ‘vibe coding’, que utiliza inteligência artificial para gerar código, trouxe à tona vulnerabilidades significativas, com 45% do código gerado apresentando falhas exploráveis. Em seguida, uma campanha de injeção de JavaScript comprometeu 150 mil sites, demonstrando a vulnerabilidade generalizada do uso de JavaScript no lado do cliente. Os ataques de Magecart, que aumentaram 103%, mostraram a sofisticação dos skimmers que se disfarçam como scripts legítimos para roubar dados de pagamento. Além disso, os ataques à cadeia de suprimentos de IA cresceram 156%, com malware polimórfico que se adapta para evitar detecções. Por fim, a validação da privacidade na web revelou que 70% dos principais sites dos EUA violam as preferências de cookies dos usuários. As lições aprendidas em 2025 exigem que as organizações adotem uma abordagem de segurança mais robusta e proativa, com foco em validação de comportamento e monitoramento contínuo.

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes significativos que evidenciam a constante evolução das ameaças digitais. Um dos casos mais alarmantes foi o ataque ao pool yETH da Yearn Finance, que resultou na perda de aproximadamente 9 milhões de dólares devido a uma falha na contabilidade interna do protocolo. O atacante explorou uma vulnerabilidade que permitiu a criação de uma quantidade astronômica de tokens, destacando a eficiência do ataque no contexto de finanças descentralizadas (DeFi).

No dia 4 de dezembro de 2025, a Cloudflare anunciou a mitigação do maior ataque DDoS já registrado, com uma intensidade de 29,7 terabits por segundo (Tbps). O ataque, que durou apenas 69 segundos, foi originado de uma botnet chamada AISURU, conhecida por realizar ataques volumétricos massivos. A Cloudflare não revelou o alvo específico do ataque, mas destacou que a botnet tem como foco setores como telecomunicações, jogos, hospedagem e serviços financeiros. Além deste ataque, a empresa também neutralizou um ataque de 14,1 Bbps proveniente da mesma botnet. Desde o início do ano, a Cloudflare já mitigou 2.867 ataques da AISURU, sendo 1.304 apenas no terceiro trimestre de 2025. O número total de ataques DDoS bloqueados em 2025 alcançou 36,2 milhões, com um aumento significativo em relação ao ano anterior. A empresa observou que a maioria dos ataques DDoS durou menos de 10 minutos e que a origem dos ataques está concentrada principalmente na Ásia. A crescente sofisticação e volume dos ataques DDoS representam um desafio crescente para as organizações, que precisam se adaptar a esse cenário em evolução.

Um novo ataque cibernético, atribuído ao grupo GoldFactory, está afetando usuários móveis na Indonésia, Tailândia e Vietnã. Desde outubro de 2024, os criminosos têm distribuído aplicativos bancários modificados que atuam como vetores para malware no sistema Android. O grupo, que opera desde junho de 2023, utiliza táticas de engenharia social, como se passar por serviços governamentais, para induzir as vítimas a instalar o malware. Mais de 300 amostras de aplicativos alterados foram identificadas, resultando em cerca de 11.000 infecções. Os atacantes utilizam chamadas telefônicas para persuadir as vítimas a baixar aplicativos maliciosos através de links enviados por aplicativos de mensagens. O malware injetado permite o controle remoto dos dispositivos, ocultando funcionalidades e contornando medidas de segurança. Além disso, uma nova variante de malware, chamada Gigaflower, foi descoberta, prometendo funcionalidades ainda mais sofisticadas. A mudança na abordagem do grupo, que agora orienta as vítimas a usar dispositivos Android emprestados, sugere uma adaptação às rigorosas medidas de segurança da Apple. Este cenário destaca a necessidade urgente de vigilância e proteção contra ameaças emergentes no setor financeiro.

Pesquisadores da Koi Security descobriram a campanha de malware chamada ShadyPanda, que afetou mais de 4,3 milhões de usuários dos navegadores Google Chrome e Microsoft Edge ao longo de sete anos. A operação, iniciada em 2018, explorou extensões de produtividade que pareciam legítimas, permitindo que os criminosos injetassem códigos maliciosos e realizassem fraudes. Inicialmente, a ShadyPanda utilizava extensões de gestão de tarefas para enganar os usuários, mas evoluiu para um controle ativo dos navegadores, utilizando uma extensão chamada Infinity V+, que sequestrava dados de pesquisa e exfiltrava cookies. Apesar de o Google ter removido as extensões comprometidas, cinco delas ainda permanecem ativas no Edge, com uma delas, chamada WeTab 新标签页, possuindo cerca de 3 milhões de instalações e coletando dados dos usuários. A campanha continua a operar por meio de atualizações automáticas, o que a torna ainda mais difícil de detectar e mitigar.

Um grave incidente de segurança cibernética ocorreu com a ASUS, uma das principais fabricantes de hardware e eletrônicos do mundo. O grupo de ransomware Everest anunciou ter roubado mais de 1 TB de dados da empresa, incluindo o código-fonte de câmeras, o que pode comprometer a segurança de dispositivos como notebooks e smartphones. Os hackers exigiram que a ASUS se comunicasse com eles em um prazo de 21 horas através de uma plataforma de mensagens criptografadas, mas não divulgaram o valor do resgate. A ASUS ainda não se pronunciou sobre a violação. Este ataque se junta a uma série de ações do Everest contra grandes organizações, incluindo a Petrobras e a Under Armour, levantando preocupações sobre a segurança de dados sensíveis e a integridade de sistemas críticos. Especialistas alertam que a violação pode ter afetado firmware e drivers internos, aumentando o risco de exploração de vulnerabilidades em dispositivos da empresa. O ataque à ASUS destaca a crescente ameaça de grupos de ransomware e a necessidade urgente de medidas de segurança robustas.

Recentemente, a segurança da App Store da Apple foi colocada em xeque após a descoberta de aplicativos fraudulentos que imitam produtos de inteligência artificial da Google e OpenAI. O desenvolvedor Neural Techlabs tem sido identificado como responsável pela publicação repetida de aplicativos que utilizam logotipos, nomes e interfaces semelhantes aos softwares legítimos, como o Google Gemini e o ChatGPT. Apesar de algumas dessas aplicações terem sido removidas anteriormente por infrações de propriedade intelectual, novas versões continuam a surgir, evidenciando falhas no processo de revisão da Apple. Os aplicativos, como ‘AI Chat Bot for Google Gemini’, criam confusão entre os usuários e podem expô-los a riscos de segurança, como a interação com informações sensíveis. A persistência dessas violações levanta preocupações sobre a eficácia das medidas de segurança da Apple e a necessidade de os usuários verificarem as credenciais dos desenvolvedores antes de baixar aplicativos. A situação destaca a vulnerabilidade do ecossistema da App Store e a importância de uma vigilância contínua contra fraudes digitais.

O grupo de cibercriminosos conhecido como Water Saci está aprimorando suas táticas de ataque, utilizando uma cadeia de infecção sofisticada que se espalha via WhatsApp. Recentemente, a ameaça se afastou do uso de PowerShell e adotou uma variante baseada em Python, permitindo a propagação de um trojan bancário através de arquivos HTA e PDFs. Os usuários recebem mensagens de contatos confiáveis, incentivando-os a abrir anexos maliciosos que iniciam a infecção. O novo método de ataque é caracterizado por uma estrutura de código orientada a objetos e melhor manuseio de erros, tornando a propagação mais rápida e resiliente. O malware é projetado para monitorar atividades bancárias, capturar dados sensíveis e contornar softwares de segurança. Além disso, o Water Saci pode ter utilizado ferramentas de inteligência artificial para converter scripts de PowerShell para Python, demonstrando um nível elevado de sofisticação. Essa campanha representa uma nova era de ameaças cibernéticas no Brasil, onde plataformas de mensagens populares são exploradas para disseminar malware em larga escala. Os especialistas alertam que a confiança dos usuários em canais de comunicação familiarizados é um vetor crítico para a propagação de ataques.

A Microsoft lançou um patch silencioso em novembro de 2025 para corrigir a vulnerabilidade CVE-2025-9491, que afeta arquivos de atalho (.LNK) do Windows. Essa falha, que existe desde 2017, permite que atacantes executem código remotamente ao manipular a interface do usuário, ocultando comandos maliciosos através de caracteres em branco. A vulnerabilidade foi explorada por grupos patrocinados por estados, incluindo nações como China, Irã, Coreia do Norte e Rússia, em campanhas de espionagem e roubo de dados. A falha foi inicialmente revelada em março de 2025, e, apesar de a Microsoft ter inicialmente decidido não corrigir o problema, a crescente exploração levou à liberação do patch. O novo comportamento do sistema agora exibe o comando completo no diálogo de propriedades, independentemente do seu comprimento, mitigando o risco de ocultação. A 0patch, por sua vez, oferece uma micropatch que alerta os usuários ao tentarem abrir arquivos .LNK com mais de 260 caracteres, destacando a necessidade de proteção contínua contra ataques que possam utilizar essa vulnerabilidade.

O cenário de cibersegurança está mudando drasticamente com a ascensão de ferramentas de inteligência artificial que facilitam ataques de phishing. Hoje, até mesmo indivíduos sem habilidades de programação podem lançar campanhas sofisticadas, equiparando-se a hackers patrocinados por estados. O artigo destaca três ferramentas principais que estão transformando o panorama das ameaças: WormGPT, que gera e-mails de comprometimento empresarial (BEC) com alta personalização; FraudGPT, um serviço de hacking que oferece um conjunto completo de ferramentas por uma assinatura mensal; e SpamGPT, que permite testes A/B em fraudes em larga escala. A eficácia das estratégias tradicionais de detecção de e-mails está em declínio, pois as mensagens geradas por IA são indistinguíveis das legítimas. A solução proposta é mudar o foco da defesa, não apenas bloqueando e-mails, mas protegendo identidades e neutralizando ataques no ponto de acesso, garantindo que os hackers não consigam obter credenciais. O artigo conclui que, para enfrentar essa nova realidade, é essencial que as empresas adotem uma abordagem proativa e inteligente na defesa contra essas ameaças emergentes.

Um adolescente de 15 anos, conhecido como “Rey”, afirmou ser o líder do grupo de hackers Scattered LAPSUS$ Hunters (SLSH), um dos mais notórios do mundo. A revelação surgiu após uma entrevista com o jornalista Brian Krebs, que investigou a conexão do jovem com atividades cibernéticas ilegais. Rey, cujo nome verdadeiro é Saif Al-Din Khader, teria cometido erros que expuseram sua identidade, como o uso de pseudônimos e a divulgação de informações pessoais em plataformas como o Telegram. O SLSH, por sua vez, negou as alegações, chamando-as de tentativas de prejudicar sua reputação. O grupo é conhecido por ataques de ransomware e por estar envolvido em vazamentos de dados de grandes empresas, como Toyota e FedEx. Desde junho, Rey estaria colaborando com as autoridades, expressando desejo de se distanciar do crime, mesmo que isso signifique enfrentar consequências legais. A situação levanta questões sobre a segurança cibernética e a vulnerabilidade de jovens envolvidos em atividades criminosas na internet.

Uma pesquisa da Accenture revela que 73% dos brasileiros preferem usar biometria, como reconhecimento facial, para acessar dispositivos e contas. Apesar de oferecer maior segurança, esses métodos não são infalíveis. Golpistas têm utilizado técnicas avançadas, como deepfakes, para burlar a biometria. A Juniper Research estima que mais de 4,2 bilhões de dispositivos móveis utilizam biometria ativa, e até 2026, 57% das transações digitais devem ser validadas por esses métodos. Anchises Moraes, da Apura Cyber Intelligence, explica que os cibercriminosos utilizam uma variedade de técnicas, desde fotos digitais até deepfakes altamente convincentes, para enganar sistemas de autenticação. No Brasil, as fraudes com deepfakes estão em ascensão, com um prejuízo estimado de R$ 4,5 bilhões até o final do ano. As empresas de cibersegurança estão implementando múltiplas camadas de proteção, como sistemas multimodais de identificação e testes dinâmicos, para dificultar a ação dos golpistas. O artigo destaca a necessidade de vigilância constante e inovação nas estratégias de segurança para enfrentar essa nova onda de fraudes digitais.

Um novo malware chamado ShadowV2, baseado na botnet Mirai, está atacando dispositivos de marcas como D-Link e TP-Link, explorando vulnerabilidades conhecidas. Pesquisadores da FortiGuard Labs identificaram que o malware se espalha por pelo menos oito falhas em equipamentos de Internet das Coisas (IoT), incluindo CVEs como CVE-2020-25506 e CVE-2024-10915. Apesar de algumas dessas falhas serem conhecidas, a D-Link não planeja corrigir as vulnerabilidades em seus dispositivos considerados ’end-of-life’. O ShadowV2 realiza ataques DDoS utilizando protocolos UDP, TCP e HTTP, e é controlado por servidores de comando e controle. Os ataques foram observados em diversos setores, incluindo governo e telecomunicações, afetando regiões da América do Sul, América do Norte, Europa e Ásia. A gravidade da situação é acentuada pela falta de atualizações em dispositivos vulneráveis, o que pode levar a um aumento na exploração dessas falhas por cibercriminosos.

A autenticação sem senha surge como uma alternativa viável às senhas tradicionais, que atualmente representam um desafio para os usuários, que precisam gerenciar em média 168 senhas. O uso de senhas tem se tornado cada vez menos seguro, com o fenômeno da ‘fadiga de senhas’ levando os usuários a reutilizarem credenciais fracas, tornando-os vulneráveis a ataques como phishing e credential stuffing. A autenticação sem senha utiliza métodos como biometria (impressão digital, reconhecimento facial) e chaves de segurança, proporcionando uma experiência de login mais fluida e segura.

Pesquisadores de cibersegurança identificaram um pacote Rust malicioso, denominado ’evm-units’, que visa sistemas operacionais Windows, macOS e Linux. O pacote foi disponibilizado no repositório crates.io em abril de 2025 e, em oito meses, acumulou mais de 7.000 downloads. Ele se disfarça como uma ferramenta auxiliar da Ethereum Virtual Machine (EVM) e possui funcionalidades maliciosas que permitem a execução silenciosa em máquinas de desenvolvedores. O pacote verifica a presença do processo ‘qhsafetray.exe’, associado ao antivírus Qihoo 360, e, dependendo do sistema operacional, baixa e executa um payload em segundo plano. No Linux, um script é salvo em /tmp/init; no macOS, um arquivo chamado init é executado; e no Windows, um script PowerShell é criado. A detecção do antivírus altera o fluxo de execução, permitindo que o código malicioso seja executado sem que o usuário perceba. Este incidente destaca a crescente preocupação com a segurança na cadeia de suprimentos de software, especialmente em um contexto onde o mercado de criptomoedas é alvo frequente de ataques.

Três falhas de segurança significativas foram identificadas no Picklescan, uma ferramenta de código aberto projetada para analisar arquivos pickle do Python e detectar importações ou chamadas de função suspeitas. As vulnerabilidades, descobertas pela JFrog, permitem que atacantes contornem as proteções do scanner e executem código malicioso ao carregar modelos PyTorch não confiáveis. As falhas incluem a CVE-2025-10155, que permite contornar a verificação de extensão de arquivo; a CVE-2025-10156, que desativa a verificação de arquivos ZIP por meio de erros de verificação de redundância cíclica (CRC); e a CVE-2025-10157, que compromete a verificação de globais inseguros do Picklescan. A exploração bem-sucedida dessas vulnerabilidades pode facilitar ataques à cadeia de suprimentos, permitindo que modelos de aprendizado de máquina maliciosos sejam distribuídos sem serem detectados. A versão 0.0.31 do Picklescan, lançada em setembro de 2025, aborda essas falhas. O artigo destaca a crescente complexidade das bibliotecas de IA, como o PyTorch, que superam a capacidade das ferramentas de segurança de se adaptarem, expondo organizações a novas ameaças.

Um homem de 44 anos foi condenado a sete anos e quatro meses de prisão na Austrália por realizar um ataque do tipo ’evil twin’, onde criou uma rede Wi-Fi falsa em voos domésticos. O criminoso, cuja identidade não foi revelada, foi indiciado em julho de 2024 após a polícia confiscar seus equipamentos e confirmar sua participação em atividades maliciosas em aeroportos de Perth, Melbourne e Adelaide. O ataque consistia em configurar um ponto de acesso Wi-Fi com o mesmo nome da rede legítima, enganando os passageiros que se conectavam a ele. Assim que conectados, os usuários eram redirecionados para uma página de phishing que coletava dados de redes sociais. O criminoso tinha como alvo principal mulheres, buscando acessar suas credenciais para monitorar suas atividades online e roubar conteúdos privados. Para se proteger de ataques semelhantes, especialistas recomendam o uso de VPNs, gerenciadores de senhas e a desativação da conexão automática ao Wi-Fi, além de considerar o uso de hotspots pessoais em vez de redes públicas.

Um novo malware para Android, denominado Albiriox, está gerando preocupações entre especialistas em cibersegurança. Este software malicioso opera como um modelo MaaS (Malware as a Service) e é projetado para realizar fraudes em tempo real, utilizando dados bancários das vítimas. O Albiriox foi identificado em fóruns de cibercrime de língua russa e possui recursos avançados que permitem manipular a tela do dispositivo de forma automatizada e imperceptível.

O malware já possui uma lista pré-programada com mais de 400 aplicativos visados, principalmente voltados para finanças, como bancos e carteiras de criptomoedas. Desde sua detecção em setembro, o Albiriox tem evoluído, utilizando táticas de phishing para infectar dispositivos, como o envio de mensagens SMS com links encurtados que redirecionam para aplicativos falsos. Uma vez instalado, o malware consegue controlar o dispositivo em tempo real, coletando informações sensíveis e burlando métodos tradicionais de autenticação.

A Polícia Federal (PF) iniciou a Operação Intolerans para investigar ataques DDoS (Negação de Serviço Distribuída) que afetaram os sites de deputados que apoiaram o PL Antiaborto. O ataque, que ocorreu em 2 de dezembro de 2025, resultou em instabilidade e indisponibilidade das páginas dos parlamentares Eduardo Bolsonaro, Bia Kicis, Alexandre Ramagem e Paulo Bilynsky. Os ataques DDoS ocorrem quando um servidor é sobrecarregado com tráfego malicioso de múltiplas fontes, dificultando o acesso de usuários legítimos. Neste caso, os hackers utilizaram uma botnet, uma rede de dispositivos infectados, para coordenar o ataque, que teve motivações ideológicas e políticas, refletindo um protesto contra o projeto de lei que visa restringir o aborto em casos de violência sexual. Embora não tenha havido roubo de dados, a ação impediu a comunicação institucional dos deputados, o que pode ser considerado um crime de invasão de dispositivo informático. A PF está rastreando os IPs dos envolvidos, evidenciando que o anonimato na internet não é absoluto.

O grupo de ransomware Rhysida reivindicou um ataque cibernético ao Escritório do Xerife do Condado de Cleveland, em Oklahoma, ocorrido em 20 de novembro de 2025. O ataque comprometeu partes do sistema interno do escritório, resultando na exigência de um resgate de 9 bitcoins, equivalente a aproximadamente $787.000. Para corroborar suas alegações, Rhysida divulgou imagens de documentos que supostamente foram roubados, incluindo cartões de Seguro Social, checagens de antecedentes criminais e registros médicos. Embora o escritório do xerife tenha confirmado a ocorrência do ataque, não houve verificação da autenticidade das informações divulgadas pelo grupo. Até o momento, não se sabe como os atacantes conseguiram acessar a rede do escritório ou se o resgate será pago. O grupo Rhysida, que surgiu em maio de 2023, já reivindicou 246 ataques de ransomware, afetando diversas agências governamentais nos EUA. Em 2025, foram registrados 72 ataques confirmados a entidades governamentais nos EUA, comprometendo cerca de 450.000 registros, com um resgate médio de $1,18 milhão. O ataque ao escritório do xerife destaca a crescente ameaça de ransomware a instituições governamentais e a necessidade de medidas de segurança robustas.

O Departamento de Telecomunicações da Índia (DoT) estabeleceu novas diretrizes para provedores de serviços de comunicação baseados em aplicativos, exigindo que plataformas como WhatsApp, Telegram e Signal utilizem um cartão SIM ativo vinculado ao número de telefone do usuário. Essa medida, parte da emenda às Regras de Cibersegurança das Telecomunicações de 2024, visa combater fraudes cibernéticas, phishing e garantir a segurança das telecomunicações. O DoT destacou que a remoção ou desativação do SIM não deve permitir que contas continuem ativas, o que tem sido explorado por criminosos para realizar fraudes. As novas regras incluem a necessidade de reautenticação periódica a cada seis horas e a vinculação contínua ao SIM, dificultando o controle remoto de contas por fraudadores. Além disso, um novo sistema de Validação de Números Móveis (MNV) será implementado para verificar a autenticidade dos números utilizados em serviços financeiros e digitais. Essas mudanças visam aumentar a segurança e a confiança nas transações digitais, permitindo que as autoridades rastreiem números envolvidos em atividades fraudulentas.

Pesquisadores da Unit 42, da Palo Alto Networks, alertam sobre o uso de Grandes Modelos de Linguagem (LLMs) por cibercriminosos. Ferramentas como WormGPT 4 e KawaiiGPT estão sendo utilizadas para facilitar a criação de malwares e ataques cibernéticos. O WormGPT, que ressurgiu em sua quarta versão, permite que hackers, mesmo sem experiência, desenvolvam códigos de ransomware e mensagens de phishing. Por exemplo, foi solicitado ao WormGPT que criasse um código para encriptar arquivos PDF em sistemas Windows, resultando em um script PowerShell que utiliza o algoritmo AES-256. Já o KawaiiGPT, uma alternativa comunitária, pode gerar mensagens de spear-phishing e scripts para movimentação lateral em sistemas, demonstrando a facilidade com que cibercriminosos podem automatizar ataques. Ambas as LLMs têm atraído a atenção de hackers, com comunidades ativas no Telegram, o que torna a situação ainda mais preocupante para a cibersegurança. A análise indica que o uso dessas ferramentas não é mais uma ameaça teórica, mas uma realidade crescente, exigindo atenção redobrada das empresas para proteger seus dados e sistemas.

A GreyNoise, empresa de cibersegurança, lançou uma ferramenta gratuita chamada GreyNoise IP Check, que permite aos usuários verificar se seus endereços IP estão conectados a botnets. Uma botnet é uma rede de dispositivos infectados por malware, controlados remotamente por cibercriminosos, muitas vezes sem o conhecimento dos usuários. A ferramenta oferece três resultados: ‘Clean’ (Limpo), indicando que não há atividade maliciosa; ‘Malicious/Suspicious’ (Maliciosa/Suspeita), que sugere investigar dispositivos conectados; e ‘Common Business Service’ (Serviço Comercial Padrão), que indica que o IP está associado a uma VPN ou rede corporativa. Além disso, a ferramenta fornece um histórico de 90 dias do endereço IP, ajudando a identificar quando a infecção ocorreu. Dispositivos infectados podem ser utilizados para ataques DDoS, phishing e fraudes publicitárias, geralmente devido à falta de atualizações de segurança. Especialistas recomendam que os usuários mantenham seus sistemas atualizados e desativem o acesso remoto quando não necessário.

A gestão de vulnerabilidades é essencial para a segurança cibernética das empresas, mas muitas vezes elas não têm consciência de todos os softwares que utilizam, o que dificulta o acompanhamento de alertas e atualizações. Em 2024, cerca de 10% das vulnerabilidades foram exploradas, o que pode resultar em graves violações de segurança se não forem tratadas rapidamente. O SecAlerts surge como uma solução acessível e eficiente, funcionando em segundo plano e enviando alertas relevantes sobre vulnerabilidades específicas de cada software utilizado pela empresa. O sistema permite que as empresas façam upload de seus softwares e recebam informações em tempo real, filtrando apenas os alertas que realmente importam. Com recursos como Stacks, Channels e Alerts, o SecAlerts oferece uma interface amigável e personalizável, permitindo que as equipes de segurança se concentrem nas ameaças mais críticas. Além disso, a plataforma é compatível com diversas ferramentas de comunicação, facilitando a integração com os fluxos de trabalho existentes. A solução promete economizar tempo e recursos, sendo uma opção viável para empresas que buscam melhorar sua postura de segurança sem comprometer o orçamento.

Recentemente, entidades israelenses de diversos setores, incluindo tecnologia e infraestrutura crítica, foram alvo de uma nova onda de ataques cibernéticos atribuídos ao grupo de hackers MuddyWater, vinculado ao Ministério da Inteligência e Segurança do Irã. Os ataques introduziram um backdoor inédito chamado MuddyViper, que permite aos invasores coletar informações do sistema, executar comandos e exfiltrar credenciais de login. As campanhas de phishing, que utilizam e-mails com anexos PDF, têm como objetivo infiltrar redes por meio de ferramentas de gerenciamento remoto legítimas. Além do MuddyViper, o grupo utiliza uma variedade de ferramentas, como Fooder, um loader que executa o backdoor, e outros RATs (Remote Access Trojans) que facilitam o controle remoto das máquinas comprometidas. A evolução das táticas do MuddyWater indica um aumento na sofisticação operacional, com um foco em furtividade e persistência. O ataque também coincide com a divulgação de documentos internos de um grupo de hackers iraniano, revelando uma estrutura organizacional complexa e hierárquica, o que sugere um aparato cibernético estatal bem estruturado. Essa situação levanta preocupações sobre a segurança cibernética em setores críticos, especialmente em um contexto onde o Brasil também enfrenta desafios semelhantes em sua infraestrutura.

Pesquisadores de cibersegurança revelaram a existência de um pacote npm chamado eslint-plugin-unicorn-ts-2, que busca influenciar scanners de segurança impulsionados por inteligência artificial (IA). O pacote, que se apresenta como uma extensão do popular plugin ESLint para TypeScript, foi carregado em fevereiro de 2024 e já foi baixado quase 19 mil vezes. Uma análise da Koi Security identificou que o pacote contém um prompt que sugere que o código é legítimo e testado em um ambiente seguro, embora essa string não afete a funcionalidade do pacote. O código malicioso, introduzido na versão 1.1.3, possui um hook pós-instalação que captura variáveis de ambiente, como chaves de API e credenciais, e as exfiltra para um webhook. Essa abordagem reflete uma nova tática de cibercriminosos que buscam manipular ferramentas de análise baseadas em IA, além de explorar um mercado subterrâneo de modelos de linguagem maliciosos. Apesar das limitações desses modelos, como a geração de código incorreto, eles tornam o cibercrime mais acessível a atacantes inexperientes, permitindo ataques mais sofisticados em larga escala.

A campanha de cibersegurança conhecida como GlassWorm voltou a atacar, infiltrando 24 extensões maliciosas no Microsoft Visual Studio Marketplace e Open VSX. Essas extensões se disfarçam de ferramentas populares para desenvolvedores, como Flutter e React, e têm como objetivo roubar credenciais do GitHub, npm e Open VSX, além de drenar ativos de criptomoedas de diversas carteiras. A GlassWorm, que utiliza a blockchain Solana para controle de comando e controle (C2), foi documentada pela primeira vez em outubro de 2025 e já causou sérios danos ao comprometer pacotes e extensões adicionais, espalhando o malware de forma semelhante a um verme. A última onda de ataques, identificada por John Tuckner da Secure Annex, envolveu a manipulação de contagens de downloads para enganar desenvolvedores. As extensões maliciosas contêm implantes em Rust que visam sistemas Windows e macOS, permitindo que os atacantes baixem cargas úteis adicionais. A situação é crítica, pois muitos desenvolvedores podem ser facilmente enganados por essas extensões, colocando suas máquinas e dados em risco.

Uma investigação conjunta liderada por Mauro Eldritch, fundador da BCA LTD, em colaboração com a iniciativa de inteligência de ameaças NorthScan e a solução de análise de malware ANY.RUN, revelou um dos esquemas de infiltração mais persistentes da Coreia do Norte: uma rede de trabalhadores de TI remotos ligada à divisão Chollima do grupo Lazarus. Os pesquisadores conseguiram observar as atividades dos operadores em tempo real, utilizando ambientes de sandbox controlados pela ANY.RUN.

Em novembro de 2025, o número de ataques de ransomware totalizou 659, apresentando uma leve queda de 5% em relação a outubro. O setor de saúde viu uma redução significativa, com ataques caindo 44%, enquanto empresas do setor de saúde, como farmacêuticas, enfrentaram um aumento de 43%. O setor de manufatura também registrou um aumento expressivo de 35%, e a educação teve um crescimento de 24%. Os grupos de ransomware mais ativos foram Qilin, Akira e Clop, com Qilin liderando com 107 ataques confirmados. Os dados indicam que mais de 31.200 TB de dados foram supostamente roubados, com um ataque específico alegando a violação de 31.063.838 GB de uma fabricante nos EUA. Os EUA foram o país mais afetado, com 354 ataques, seguidos pelo Canadá e Reino Unido. O artigo destaca a importância de monitorar e proteger sistemas, especialmente em setores vulneráveis como saúde e educação, onde os ataques têm consequências diretas para a segurança de dados sensíveis.

Uma pesquisa da empresa de segurança cibernética WatchTowr revelou que sites de formatação de código, como JSONFormatter e CodeBeautify, expuseram milhares de informações sensíveis, incluindo senhas e credenciais de administrador. A análise de mais de 80.000 arquivos JSON identificou dados críticos, como chaves API e registros SSH, que foram inadvertidamente compartilhados por usuários. A vulnerabilidade se deve ao uso das ferramentas ‘Salvar’ e ‘Links Recentes’, que permitiram que informações coladas fossem acessíveis através de URLs previsíveis. Organizações de setores essenciais, como governo e finanças, foram afetadas, e os pesquisadores alertaram as instituições de segurança, mas a maioria não respondeu. A exploração dessas brechas já foi confirmada por hackers, o que representa um risco significativo para a segurança cibernética. Os especialistas enfatizam a necessidade de maior conscientização sobre a segurança ao compartilhar dados sensíveis online.

O novo IDE Antigravity da Google, que utiliza inteligência artificial, já enfrenta sérias críticas relacionadas à segurança. Especialistas da PromptArmor alertaram que, sob configurações padrão, o sistema permite que agentes executem comandos automaticamente, o que pode resultar em comportamentos indesejados. Quando entradas não confiáveis aparecem em arquivos de código, o agente pode ser manipulado para executar comandos não intencionais pelo usuário. Além disso, o IDE apresenta vulnerabilidades que permitem a exfiltração de dados, como credenciais e informações sensíveis, através de instruções ocultas em Markdown ou invocações de ferramentas. Embora a Google tenha implementado algumas salvaguardas, lacunas nos controles de segurança ainda permitem que ataques de injeção de comandos sejam realizados. O IDE também pode contornar restrições de acesso a arquivos sensíveis, como aqueles listados em .gitignore, utilizando comandos de terminal. A empresa reconheceu esses problemas e emitiu avisos durante o processo de integração, mas isso não é suficiente, pois os agentes podem operar sem supervisão. Essa situação destaca os riscos associados ao uso de ferramentas de IA com ampla autonomia, sem as devidas salvaguardas estruturais.

A gangue de ransomware conhecida como Inc reivindicou um ataque cibernético ao Valley View Independent School District, no Texas, ocorrido em 29 de novembro de 2025. O distrito confirmou, em 10 de novembro, que seus sistemas de computador e linhas telefônicas foram afetados. Inc alegou ter roubado 68 GB de dados e deu ao distrito um prazo de duas semanas para pagar um valor de resgate não divulgado. Para corroborar sua afirmação, a gangue publicou imagens de documentos que afirma ter obtido. Até o momento, o distrito não confirmou a veracidade das alegações da gangue, e detalhes sobre como os atacantes conseguiram acessar a rede ainda não foram divulgados. A Inc, que surgiu em meados de 2023, utiliza métodos como spear phishing e exploração de vulnerabilidades conhecidas, operando sob um modelo de ransomware como serviço. Em 2025, a gangue já reivindicou 51 ataques confirmados, sendo 17 direcionados ao setor educacional. Os ataques de ransomware têm o potencial de interromper operações diárias em instituições de ensino, afetando a comunicação, a gestão de dados e a segurança dos alunos e funcionários.

Um ator de ameaças conhecido como ShadyPanda está vinculado a uma campanha de spyware que se estende por sete anos, envolvendo extensões de navegador que acumulam mais de 4,3 milhões de instalações. De acordo com um relatório da Koi Security, cinco dessas extensões, inicialmente legítimas, foram alteradas para executar código malicioso em 2024, resultando em 300 mil instalações. Essas extensões agora realizam execução remota de código, monitorando visitas a sites, exfiltrando histórico de navegação e coletando impressões digitais do navegador. Uma das extensões, Clean Master, foi verificada pelo Google, o que permitiu que os atacantes expandissem sua base de usuários e emitisse atualizações maliciosas sem levantar suspeitas. Além disso, outras extensões coletam informações detalhadas sobre URLs visitados e interações do usuário, enviando dados para servidores na China. O ataque evoluiu de injeções de código a controle ativo do navegador, redirecionando consultas de pesquisa e coletando cookies. A Koi Security alerta que o mecanismo de atualização automática, destinado a proteger os usuários, se tornou um vetor de ataque. Os usuários são aconselhados a remover essas extensões imediatamente e a alterar suas credenciais por precaução.

O Ministério das Telecomunicações da Índia determinou que fabricantes de dispositivos móveis instalem obrigatoriamente o aplicativo Sanchar Saathi em todos os novos smartphones dentro de um prazo de 90 dias. Este aplicativo, que não pode ser desinstalado ou desativado, permite que os usuários relatem fraudes, spam e links maliciosos, além de bloquear aparelhos roubados e verificar conexões móveis em seu nome. Uma das funcionalidades principais é a possibilidade de reportar chamadas internacionais fraudulentas que se disfarçam como chamadas nacionais. Desde seu lançamento em maio de 2023, o Sanchar Saathi já foi instalado mais de 11,4 milhões de vezes e ajudou a bloquear 4,2 milhões de dispositivos perdidos. A medida visa combater ameaças à cibersegurança nas telecomunicações, como o uso de números IMEI falsificados. A iniciativa coloca a Índia ao lado de países como a Rússia, que também impôs a pré-instalação de aplicativos governamentais em dispositivos móveis, levantando preocupações sobre privacidade e vigilância.

A Europol, agência de inteligência da União Europeia, está investigando como jogos online se tornaram ferramentas para que cibercriminosos manipulem crianças a cometer atos violentos. Catherine De Bolle, diretora-executiva da Europol, expressou sua preocupação com o uso de menores como ‘peões’ em crimes graves, incluindo tortura e assassinato. Em um caso alarmante, um menino foi instruído a matar sua irmã mais nova, o que realmente ocorreu. A Europol identificou que esses recrutamentos ocorrem em chats de jogos multiplayer, onde os criminosos inicialmente estabelecem um vínculo com as crianças por meio de conversas sobre temas inocentes. Após ganhar a confiança dos menores, eles migram para chats privados, onde manipulam as crianças a compartilhar informações pessoais, que são usadas para chantageá-las a cometer atos violentos. Até agora, foram registrados 105 casos, incluindo 10 assassinatos encomendados por crianças. Os criminosos frequentemente oferecem recompensas financeiras, mas também utilizam táticas de intimidação, como ameaçar a vida de familiares, para garantir a obediência das vítimas. A Europol alerta que nenhuma criança está a salvo, dado que os criminosos estão constantemente aprimorando suas táticas de manipulação.

Um alerta recente da Bitdefender Labs revelou uma nova ameaça para os gamers: arquivos maliciosos disfarçados de downloads gratuitos ou hackeados do jogo Battlefield 6. Esses arquivos, que prometem versões piratas do jogo, na verdade contêm malwares projetados para roubar informações pessoais e até controlar remotamente os computadores dos usuários. A pesquisa identificou instaladores e aplicativos que, ao invés de oferecer vantagens no jogo, servem apenas para roubar dados. Os cibercriminosos utilizam nomes que imitam grupos conhecidos de pirataria, como InsaneRamZes e RUNE, para dar credibilidade aos arquivos. Um dos malwares analisados, disfarçado como uma imagem ISO do jogo, permite que hackers assumam o controle do PC infectado. Outro arquivo, que se apresenta como um treinador, atua como um infostealer, focando em cookies de navegadores, carteiras de criptomoedas e tokens de plataformas como Discord. A Bitdefender recomenda que os jogadores adquiram jogos apenas de fontes confiáveis, como Steam e GOG, para evitar esses riscos.

Os hackers modernos não precisam mais invadir fisicamente as empresas; eles utilizam ferramentas cotidianas como pacotes de código, contas em nuvem e e-mails para realizar ataques. Um download malicioso pode expor chaves de acesso, enquanto um fornecedor vulnerável pode comprometer múltiplos clientes simultaneamente. O artigo destaca diversos incidentes recentes, como o ataque ao registro npm, onde um verme auto-replicante chamado ‘Sha1-Hulud’ afetou mais de 800 pacotes e 27.000 repositórios no GitHub, visando roubar dados sensíveis como chaves de API e credenciais de nuvem. Outro ataque notável foi o do grupo ToddyCat, que evoluiu para roubar dados de e-mails do Outlook e tokens de acesso do Microsoft 365. Além disso, um ataque sofisticado chamado Qilin comprometeu provedores de serviços gerenciados, afetando várias instituições financeiras na Coreia do Sul. A CISA também alertou sobre campanhas de spyware que visam usuários de aplicativos de mensagens móveis, utilizando engenharia social para obter acesso não autorizado. Esses incidentes ressaltam a importância de revisar a segurança das ferramentas que consideramos seguras e a necessidade de uma vigilância constante.

O grupo de cibercriminosos conhecido como Tomiris tem sido associado a uma série de ataques direcionados a ministérios estrangeiros, organizações intergovernamentais e entidades governamentais na Rússia, com o objetivo de estabelecer acesso remoto e implantar ferramentas adicionais. A Kaspersky destaca uma mudança nas táticas do grupo, que agora utiliza serviços públicos como Telegram e Discord como servidores de comando e controle (C2), misturando tráfego malicioso com atividades legítimas para evitar a detecção. Mais de 50% dos e-mails de spear-phishing utilizados na campanha continham nomes e textos em russo, indicando que o foco principal são usuários de língua russa, além de alvos em países da Ásia Central. Os ataques utilizam uma combinação de shells reversos, implantes personalizados e frameworks de C2 de código aberto, como Havoc e AdaptixC2. A evolução das táticas do Tomiris enfatiza a importância da furtividade e da persistência a longo prazo, visando especificamente organizações governamentais e intergovernamentais. A Kaspersky alerta que a campanha de 2025 do Tomiris utiliza módulos de malware multilíngues para aumentar a flexibilidade operacional e evitar detecções.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) atualizou seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) para incluir a falha CVE-2021-26829, uma vulnerabilidade de cross-site scripting (XSS) que afeta o software OpenPLC ScadaBR nas versões para Windows e Linux. Essa vulnerabilidade, com um escore CVSS de 5.4, permite que atacantes explorem o sistema através do arquivo system_settings.shtm. A inclusão no catálogo ocorre após um ataque de um grupo hacktivista pro-Rússia, conhecido como TwoNet, que comprometeu um honeypot, acreditando ser uma instalação de tratamento de água. Os atacantes utilizaram credenciais padrão para obter acesso inicial e exploraram a vulnerabilidade para modificar a página de login do HMI, exibindo uma mensagem de ‘Hacked by Barlati’. Além disso, a VulnCheck observou uma operação de exploração em andamento focada no Brasil, com tentativas de exploração de mais de 200 CVEs. A CISA exige que as agências federais apliquem correções até 19 de dezembro de 2025 para garantir proteção adequada.

O FBI alertou que, em 2025, hackers roubaram mais de US$ 262 milhões de alvos nos EUA através de esquemas de tomada de conta. Esses ataques, que afetam indivíduos, empresas e organizações, geralmente envolvem técnicas de engenharia social, como phishing, onde os criminosos manipulam as vítimas para que revelem suas credenciais de login. Após obter acesso, os atacantes podem redefinir senhas e transferir fundos para contas que controlam, frequentemente convertendo o dinheiro em criptomoedas para dificultar o rastreamento. O uso de inteligência artificial (IA) tem potencializado esses golpes, permitindo a criação de campanhas de phishing mais convincentes e sites falsos que imitam marcas conhecidas, como Amazon. O FBI também destacou o aumento de campanhas de phishing móvel, onde os atacantes se aproveitam de nomes de marcas confiáveis para induzir os usuários a clicar em links maliciosos. Para se proteger, o FBI recomenda que os usuários limitem a informação pessoal compartilhada online, monitorem suas contas financeiras e utilizem senhas complexas e únicas para cada conta.

O setor de cibersegurança é conhecido por sua intensidade e ritmo acelerado, o que pode levar a um alto índice de burnout entre os profissionais. Um estudo recente revelou que 76% dos especialistas em cibersegurança relataram fadiga ou burnout no último ano, com 69% afirmando que sua condição piorou entre 2023 e 2024. As causas desse esgotamento incluem a pressão constante para se manter à frente de ataques cibernéticos, a necessidade de adaptação a novas tecnologias e regulamentações, além da escassez de profissionais qualificados, que atualmente é de mais de 4 milhões globalmente. O burnout não afeta apenas a saúde mental e física dos indivíduos, mas também compromete a produtividade e a eficácia das equipes de segurança, aumentando o risco de incidentes de segurança e gerando custos financeiros significativos. Para mitigar esses efeitos, é crucial que as organizações promovam uma cultura de apoio, ofereçam recursos de saúde mental e considerem parcerias estratégicas, como serviços de resposta e detecção gerenciados (MDR), que mostraram reduzir a fadiga em 92% dos profissionais afetados. Além disso, oportunidades de crescimento e desenvolvimento podem ajudar a manter os talentos engajados e motivados.

Um estudo da NordVPN revelou um aumento alarmante de 250% em sites falsos que imitam grandes varejistas, como a Amazon, durante a Black Friday. Entre setembro e outubro, os sites fraudulentos que se passavam pela Amazon cresceram 232%, enquanto os que imitavam o eBay aumentaram 525%. Essa situação é preocupante, pois apenas 27% dos brasileiros se sentem capacitados para identificar golpes digitais, uma queda significativa em relação ao ano anterior. Além disso, 69% dos consumidores acreditam estar bem informados sobre ciberataques, mas mais de 70% já foram vítimas de algum tipo de fraude. Os golpistas utilizam táticas como a ‘falsa venda’, onde produtos inexistentes são anunciados, levando os consumidores a perder dinheiro e dados sensíveis. Para se proteger, é essencial verificar o endereço do site, desconfiar de ofertas muito vantajosas e checar a presença de informações de contato da loja. A conscientização e a cautela são fundamentais para evitar fraudes durante esse período de compras.

Durante a Black Friday de 2025, o Brasil enfrenta um aumento alarmante de sites falsos criados por cibercriminosos, com uma média de 180 novas páginas fraudulentas surgindo a cada hora. Segundo a Redbelt Security, entre 1 e 24 de novembro, foram identificadas 5.125 páginas golpistas, e esse número pode ultrapassar 6.000 até a data oficial da promoção. Os golpistas estão clonando sites de grandes varejistas, como Havan e Shopee, oferecendo produtos populares com descontos exagerados para atrair vítimas desatentas. O crescimento de 96% na criação de sites fraudulentos na semana anterior à Black Friday indica uma profissionalização dos golpes, potencializada pelo uso de inteligência artificial para automatizar processos. Especialistas recomendam que os consumidores desconfiem de ofertas muito abaixo do preço médio e verifiquem sempre a URL dos sites antes de realizar compras. A ativação da autenticação em dois fatores e o monitoramento de atividades bancárias também são medidas recomendadas para evitar fraudes.

Uma pesquisa da Avast revelou que 69% dos brasileiros estão preocupados com a possibilidade de que idosos em seu círculo social sejam vítimas de fraudes durante a Black Friday e as compras de fim de ano. O estudo destaca que 72% dos entrevistados temem se tornar vítimas de ciberataques, especialmente em um período marcado por promoções e ofertas tentadoras. Os dados mostram que 68% dos consumidores estão alarmados com a possibilidade de serem enganados, e 61% expressaram preocupação com golpes que utilizam inteligência artificial. A falta de educação digital é um fator crítico, com 35% dos usuários afirmando já ter sido alvo de fraudes online, resultando em perdas médias de R$ 2 mil, e em casos extremos, até R$ 200 mil. A pesquisa indica uma necessidade urgente de conscientização e educação sobre práticas de segurança digital, especialmente em um cenário onde 86% dos entrevistados desejam aprender mais sobre como se proteger. A Black Friday, embora ofereça oportunidades de compras, também representa um terreno fértil para cibercriminosos que exploram a vulnerabilidade dos consumidores, especialmente os mais idosos.

Pesquisadores da Cato Networks revelaram uma nova técnica chamada ‘HashJack’, que permite que atacantes manipulem assistentes de IA através de fragmentos ocultos em URLs. Essa vulnerabilidade ocorre quando um hashtag é inserido em um link aparentemente legítimo, permitindo que comandos maliciosos sejam executados localmente no navegador do usuário, sem que ele perceba. Os assistentes de IA podem realizar ações autônomas, como transmitir dados sensíveis para servidores controlados por atacantes, enquanto o usuário continua a ver uma página normal. A pesquisa destaca que muitos navegadores de IA estão sob escrutínio devido a essa falha, que não é detectável por ferramentas de monitoramento tradicionais, pois os fragmentos nunca deixam o dispositivo do usuário. Embora algumas empresas tenham implementado atualizações, a defesa contra essa manipulação indireta depende de como cada assistente processa as instruções ocultas. A conscientização sobre essa limitação é crucial para organizações que utilizam ferramentas de IA, pois as medidas de segurança convencionais não conseguem capturar completamente essas ameaças.

A campanha Contagious Interview, atribuída a atores de ameaça da Coreia do Norte, continua a inundar o registro npm com pacotes maliciosos, totalizando 197 novos pacotes desde o mês passado. Esses pacotes, que já foram baixados mais de 31.000 vezes, têm como objetivo entregar uma variante do malware OtterCookie, que combina características de versões anteriores. Entre os pacotes identificados estão ‘bcryptjs-node’, ‘cross-sessions’ e ‘webpack-loadcss’. O malware, ao ser executado, tenta evitar ambientes de sandbox e máquinas virtuais, além de estabelecer um canal de comando e controle (C2) para permitir que os atacantes tenham acesso remoto ao sistema comprometido. As capacidades incluem roubo de credenciais, captura de telas e registro de teclas. A campanha também se destaca por utilizar sites falsos de avaliação que disfarçam a entrega de outro malware, o GolangGhost, sob a aparência de resolver problemas de câmera ou microfone. Essa abordagem inovadora visa comprometer indivíduos através de processos de recrutamento fraudulentos, tornando a aplicação para empregos uma arma. A análise revela que a URL de C2 é codificada e que a conta do GitHub utilizada para a entrega do malware não está mais acessível.

Pesquisadores de cibersegurança identificaram vulnerabilidades em pacotes Python legados que podem facilitar um ataque à cadeia de suprimentos no Python Package Index (PyPI). A empresa ReversingLabs revelou que o problema reside em scripts de bootstrap do zc.buildout, que ainda tentam instalar o pacote Distribute a partir de um domínio obsoleto, python-distribute[.]org, que está à venda desde 2014. Essa situação é preocupante, pois um invasor poderia assumir o domínio e injetar código malicioso, colocando em risco dados sensíveis dos usuários. Embora alguns pacotes já tenham removido o script vulnerável, o slapos.core ainda o inclui, aumentando a superfície de ataque. Além disso, um pacote malicioso chamado ‘spellcheckers’ foi descoberto no PyPI, projetado para baixar um trojan de acesso remoto (RAT) após a instalação. O artigo destaca a necessidade urgente de os desenvolvedores revisarem seus códigos e removerem dependências obsoletas para evitar possíveis compromissos de segurança.

A Black Friday é um período de grandes ofertas, mas também de riscos elevados de fraudes online. O artigo de Lillian Sibila Dala Costa destaca a importância de estar atento a golpes que se intensificam durante essa temporada de compras. Mirella Kurata, CEO da DMK3, alerta que os cibercriminosos utilizam táticas como phishing, imitação de grandes varejistas e criação de links fraudulentos para enganar consumidores. Para evitar cair nessas armadilhas, o artigo apresenta sete dicas práticas: pesquisar preços em sites confiáveis, evitar links compartilhados, usar cartões virtuais, evitar Wi-Fi público, monitorar faturas, verificar a segurança dos sites e utilizar autenticação em dois fatores. Além disso, caso alguém caia em um golpe, é recomendado desconectar da internet, realizar uma varredura com antivírus e alterar senhas. O texto enfatiza a necessidade de cautela e desconfiança em relação a ofertas que parecem boas demais para serem verdade, especialmente durante a Black Friday.

Um relatório da Sumsub, empresa especializada em verificação de identidade, revelou que o Brasil é o líder na utilização de deepfakes para fraudes na América Latina, com um aumento alarmante de 126% entre 2024 e 2025. Apesar da diminuição geral no número de ataques, a complexidade das fraudes tem crescido, com 28% das tentativas globais sendo consideradas altamente sofisticadas. O uso de deepfakes e identidades sintéticas está se tornando cada vez mais comum, especialmente em um cenário onde 43% das empresas na região relataram ter sofrido fraudes. O relatório destaca que a manipulação de telemetria, onde dados de dispositivos e fluxos de câmera são alterados, está na vanguarda dessas fraudes. A digitalização das fraudes também é crescente, com 1 em cada 50 documentos falsificados gerados por inteligência artificial. Para enfrentar esses desafios, as empresas precisam adotar tecnologias de segurança mais avançadas, como biometria comportamental e monitoramento contínuo, para se protegerem contra esses novos métodos de ataque.

Durante a Black Friday, o setor de apostas online, conhecido como bets, enfrenta um aumento significativo em fraudes digitais, com um crescimento de até 30% nos golpes. Segundo uma análise da Sumsub, em 2024, 80% dos operadores relataram incidentes de fraudes, e a expectativa é que esse cenário se repita em 2025, impulsionado pelo aumento do faturamento online, que deve crescer 17%. Os golpes mais comuns incluem fraudes de identidade e lavagem de dinheiro, representando 64,8% dos casos, além do abuso de bônus, que chega a 63,8%. A maioria dos ataques ocorre durante os depósitos (41,9%), seguidos pelo onboarding (23,8%) e saques (22,9%). Os criminosos costumam agir entre 4 e 9 horas da manhã, quando as equipes de compliance estão menos ativas, o que facilita a exploração das vulnerabilidades. Leonardo Chaves, CEO da OKTO Pagamentos, enfatiza a necessidade de monitoramento em tempo real das transações para prevenir fraudes.