Cibersegurança

Uma campanha maliciosa, chamada ‘Bizarre Bazaar’, está visando endpoints de Modelos de Linguagem de Grande Escala (LLMs) expostos, com o objetivo de comercializar acesso não autorizado à infraestrutura de IA. Pesquisadores da Pillar Security registraram mais de 35.000 sessões de ataque em 40 dias, revelando uma operação de cibercrime em larga escala. Os atacantes exploram configurações inadequadas, como endpoints não autenticados, para roubar recursos computacionais para mineração de criptomoedas, revender acesso a APIs em mercados darknet e exfiltrar dados de conversas. Os vetores de ataque comuns incluem configurações de LLM auto-hospedadas e APIs de IA expostas. A operação é atribuída a um ator específico que utiliza os pseudônimos “Hecker”, “Sakuya” e “LiveGamer101”. Além disso, a Pillar Security está monitorando uma campanha separada focada em reconhecimento de endpoints de Model Context Protocol (MCP), que pode oferecer oportunidades adicionais de movimento lateral. A campanha ‘Bizarre Bazaar’ continua ativa, e o serviço associado, SilverInc, ainda está operacional.

O artigo de Itamar Apelblat discute como a evolução da inteligência artificial (IA) está desafiando os tradicionais frameworks de conformidade, que foram construídos sob a premissa de que humanos são os principais atores em processos de negócios. Com a incorporação de agentes de IA em fluxos de trabalho regulados, surgem novos riscos de identidade, acesso e conformidade. Esses agentes não apenas assistem, mas agem de forma autônoma, o que pode levar a falhas de conformidade, já que suas decisões são baseadas em algoritmos que mudam constantemente. Isso representa um desafio significativo para os Chief Information Security Officers (CISOs), que agora podem ser responsabilizados não apenas por violações de segurança, mas também por falhas de conformidade resultantes do comportamento da IA. O artigo destaca a necessidade de uma governança robusta sobre identidades não humanas e a importância de controles de acesso rigorosos para garantir a integridade dos dados e a conformidade com regulamentações como SOX, GDPR, PCI DSS e HIPAA. À medida que a IA se torna um ator operacional, a linha entre segurança e conformidade se torna cada vez mais tênue, exigindo que os CISOs adaptem suas estratégias de segurança para incluir esses novos desafios.

Um grupo de cibercriminosos com vínculos à China, conhecido como Mustang Panda, tem utilizado uma versão atualizada de um backdoor chamado COOLCLIENT em ataques de espionagem cibernética. Esses ataques, que ocorreram em 2025, visaram principalmente entidades governamentais em países como Mianmar, Mongólia, Malásia e Rússia, resultando em um roubo abrangente de dados de endpoints infectados. O malware é frequentemente implantado como um backdoor secundário, em conjunto com outras infecções como PlugX e LuminousMoth. O COOLCLIENT é entregue por meio de arquivos carregadores criptografados e utiliza técnicas de DLL side-loading, o que exige um executável legítimo para carregar a DLL maliciosa. O malware é capaz de coletar informações do sistema e do usuário, como pressionamentos de tecla, conteúdos da área de transferência e credenciais de proxy HTTP. Além disso, o grupo tem explorado softwares legítimos para facilitar suas operações, incluindo produtos da Sangfor. As campanhas de Mustang Panda também incluem o uso de programas de roubo de credenciais para navegadores populares, ampliando suas atividades de pós-exploração. Com capacidades que vão além da simples espionagem, como monitoramento ativo de usuários, os ataques representam uma ameaça significativa para a segurança cibernética.

Pesquisadores de cibersegurança revelaram duas falhas significativas na plataforma n8n, que é amplamente utilizada para automação de workflows. A primeira vulnerabilidade, identificada como CVE-2026-1470, possui uma pontuação CVSS de 9.9 e permite que um usuário autenticado contorne o mecanismo de sandbox da expressão, possibilitando a execução remota de código JavaScript malicioso. A segunda falha, CVE-2026-0863, com pontuação CVSS de 8.5, permite a execução de código Python arbitrário no sistema operacional subjacente, também por um usuário autenticado. A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante assuma o controle total de uma instância do n8n, mesmo em modo de execução interna, o que representa um risco significativo para a segurança das organizações. Os desenvolvedores recomendam que os usuários atualizem para versões específicas para mitigar esses riscos. Essas falhas destacam a dificuldade de manter a segurança em linguagens dinâmicas como JavaScript e Python, onde características sutis podem ser exploradas para contornar medidas de segurança.

Uma vulnerabilidade crítica de escape de sandbox foi divulgada na popular biblioteca vm2 do Node.js, que, se explorada com sucesso, pode permitir que atacantes executem código arbitrário no sistema operacional subjacente. A falha, identificada como CVE-2026-22709, possui uma pontuação CVSS de 9.8 em 10.0, indicando seu alto nível de gravidade. O problema decorre da sanitização inadequada dos manipuladores de Promise na versão 3.10.0 do vm2, permitindo que o código escape do ambiente seguro em que deveria ser executado. A biblioteca vm2 é amplamente utilizada para executar código não confiável em um ambiente isolado, mas a descoberta de múltiplas falhas de segurança nos últimos anos levanta preocupações sobre sua confiabilidade. Embora a versão 3.10.2 tenha corrigido essa vulnerabilidade, os mantenedores alertam que novas falhas podem surgir, recomendando que os usuários atualizem para a versão mais recente (3.10.3) e considerem alternativas mais robustas, como o isolated-vm. A situação é crítica, e os usuários devem agir rapidamente para proteger seus sistemas.

O mercado de apostas esportivas no Brasil tem crescido significativamente, mas enfrenta um aumento alarmante de fraudes, especialmente com o uso de deepfakes e inteligência artificial (IA). Um relatório da Sumsub revelou que o uso de deepfakes em golpes aumentou 126% em 2025, com 78% das operadoras de apostas relatando casos desse tipo. Os criminosos utilizam deepfakes de celebridades para criar anúncios fraudulentos, enganando apostadores e levando-os a baixar aplicativos maliciosos que parecem legítimos. A biometria surge como uma solução eficaz para combater essas fraudes, permitindo a verificação da identidade dos usuários e dificultando a criação de contas falsas. Apesar das regulamentações implementadas pelo governo, as operadoras ilegais ainda representam um desafio significativo, pois não estão sujeitas a monitoramento e penalidades. A situação exige que as operadoras legais adotem tecnologias avançadas para se manterem à frente dos criminosos, especialmente em um cenário onde a IA está cada vez mais acessível e utilizada para fraudes.

O grupo de espionagem Mustang Panda, vinculado à China, atualizou sua backdoor CoolClient, que agora possui novas funcionalidades, como roubo de dados de login de navegadores e monitoramento da área de transferência. Pesquisadores da Kaspersky identificaram que a nova variante do malware foi usada em ataques direcionados a entidades governamentais em países como Mianmar, Mongólia, Malásia, Rússia e Paquistão, sendo implantada através de softwares legítimos da empresa chinesa Sangfor. A CoolClient, que opera desde 2022, é utilizada como uma backdoor secundária em conjunto com outras ferramentas como PlugX e LuminousMoth. A nova versão do malware apresenta um módulo de monitoramento da área de transferência, rastreamento de títulos de janelas ativas e coleta de credenciais de proxy HTTP. Além disso, a CoolClient agora pode implantar infostealers para coletar dados de login de navegadores, utilizando tokens de API de serviços legítimos para evitar detecções. A evolução das capacidades do Mustang Panda destaca a necessidade de atenção redobrada por parte das equipes de segurança, especialmente em um cenário onde a infraestrutura crítica pode ser alvo de ataques.

A OpenAI anunciou que começará a exibir anúncios no ChatGPT para usuários com assinatura gratuita ou a de $8, mas os custos para anunciantes podem ser elevados. Embora a empresa não tenha revelado o preço exato, um relatório indica que a taxa pode chegar a até $60 por mil visualizações, o que é comparável ao custo de anúncios em transmissões ao vivo da NFL. Os anúncios aparecerão abaixo das respostas geradas pela IA, e a OpenAI garantiu que não usará informações pessoais dos usuários, incluindo dados de saúde, para treinar seus modelos de anúncios. Além disso, a empresa afirmou que os anúncios não influenciarão as respostas do ChatGPT. Os anunciantes receberão dados sobre impressões e visualizações, mas a OpenAI não divulgará quantos cliques os anúncios geram, o que pode ser um indicativo de uma taxa de cliques (CTR) baixa. Para evitar anúncios, os usuários podem optar pela assinatura do ChatGPT Plus, que custa $20. A implementação dos anúncios está prevista para as próximas semanas.

Recentemente, hackers têm utilizado o Microsoft SharePoint como vetor para realizar ataques direcionados a grandes empresas do setor de energia. O método envolve o roubo de credenciais de funcionários, que são inicialmente comprometidas através de e-mails falsos. Os cibercriminosos enviam mensagens que contêm links para sites fraudulentos, onde as vítimas, ao tentarem fazer login, acabam entregando suas credenciais aos atacantes. Uma vez que os hackers obtêm acesso às contas de e-mail corporativas, eles estabelecem persistência no sistema, criando regras para ocultar suas atividades, como deletar mensagens e marcar e-mails como lidos. Isso permite que eles enviem grandes volumes de e-mails de phishing para contatos internos e externos sem levantar suspeitas. A Microsoft alerta que redefinir senhas não é suficiente, pois os atacantes podem alterar configurações de autenticação, incluindo a autenticação de dois fatores, para manter o controle. A recomendação é que as empresas adotem políticas de segurança rigorosas, como monitoramento de IP e localização, e que os usuários permaneçam cautelosos ao clicar em links desconhecidos.

Uma grave violação de segurança no SoundCloud comprometeu cerca de 29,8 milhões de contas, afetando aproximadamente 20% dos usuários da plataforma de streaming de áudio. O ataque, que ocorreu em dezembro de 2025, foi atribuído ao grupo hacker ShinyHunters, que também tentou extorquir a empresa. Os usuários relataram dificuldades de acesso ao serviço, mesmo ao tentarem utilizar VPNs. Embora o SoundCloud tenha confirmado a invasão, inicialmente não forneceu muitos detalhes, mas posteriormente revelou que os dados vazados incluíam endereços de e-mail, nomes, localizações geográficas e estatísticas de perfil, além de informações que já eram públicas. A situação foi analisada pelo site Have I Been Pwned, que confirmou a exposição de dados pessoais. A empresa tomou medidas para mitigar o problema, mas ainda não se pronunciou sobre as atualizações mais recentes do caso. O incidente destaca a vulnerabilidade de plataformas populares e a necessidade de medidas de segurança robustas para proteger dados sensíveis dos usuários.

Uma vulnerabilidade crítica foi descoberta no Grist-Core, uma ferramenta de planilhas de código aberto, permitindo que cibercriminosos executem códigos remotamente. Identificada como Cellbreak, a falha (CVE-2026-24002) possibilita que fórmulas maliciosas transformem planilhas em pontos de invasão. O pesquisador Vladimir Tokarev destacou que a vulnerabilidade permite a execução de comandos do sistema operacional e JavaScript, rompendo a segurança da sandbox do Pyodide, uma plataforma que deveria isolar a execução de códigos Python no navegador. A falha foi corrigida na versão 1.7.9, lançada em 9 de janeiro de 2026. Para verificar se a versão do Grist está vulnerável, os administradores devem acessar o Painel de Administrador e procurar por “gvisor” ou “pyodide”. A vulnerabilidade é considerada um risco sistêmico, pois pode comprometer a segurança de várias plataformas de automação, permitindo que hackers acessem credenciais e arquivos sensíveis. A atualização do software e a alteração da variável de ambiente GRIST_SANDBOX_FLAVOR são medidas recomendadas para mitigar o problema.

Uma nova campanha de roubo de identidade está em andamento, com foco nas credenciais de single sign-on (SSO) da Okta, visando cerca de 100 grandes empresas. O grupo de hackers conhecido como Scattered LAPSUS$ Hunters (SLH) está utilizando uma técnica sofisticada de vishing (phishing por voz) para obter acesso à infraestrutura corporativa e exfiltrar dados sensíveis, buscando extorquir as vítimas. Os pesquisadores da Silent Push descobriram que os atacantes estão usando um ‘Live Phishing Panel’, que permite interceptar credenciais e tokens de autenticação multifatorial (MFA) em tempo real durante as sessões de login. Embora não haja confirmação de que as empresas-alvo tenham sido comprometidas, o risco é significativo, pois uma sessão do Okta comprometida dá ao invasor acesso a todos os aplicativos do ambiente corporativo. A campanha destaca a necessidade de treinamento de segurança mais eficaz, já que os operadores do SLH são altamente persuasivos e manipulam páginas de phishing em tempo real para enganar as vítimas. As empresas mencionadas incluem nomes de destaque como Atlassian e GameStop, mas até o momento, não há evidências de que tenham sofrido brechas confirmadas.

Uma nova acusação de um grande júri federal em Nebraska resultou na imputação de 31 indivíduos por envolvimento em uma operação de jackpotting em caixas eletrônicos, supostamente orquestrada pela gangue venezuelana Tren de Aragua. As acusações se seguem a duas outras denúncias anteriores, que totalizam 87 membros da gangue processados nos últimos seis meses. Os réus são acusados de usar malware Ploutus para roubar milhões de dólares de caixas eletrônicos em todo os Estados Unidos. O malware foi instalado em caixas eletrônicos após a abertura de suas carcaças, permitindo que os criminosos eliminassem evidências e forçassem os dispositivos a liberar dinheiro. A gangue, que evoluiu de uma organização criminosa local para uma designada como organização terrorista estrangeira pelo Departamento do Tesouro dos EUA, representa uma ameaça significativa à segurança financeira. Se condenados, os réus enfrentam penas de prisão que variam de 20 a 335 anos. O caso destaca a crescente complexidade e sofisticação das ameaças cibernéticas, exigindo atenção redobrada das instituições financeiras e autoridades de segurança.

A Nike está investigando um possível incidente de cibersegurança após o grupo de ransomware World Leaks vazar 1,4 TB de arquivos que supostamente foram roubados da empresa. O grupo afirma ter acessado quase 190 mil arquivos contendo dados corporativos sobre as operações da Nike. A empresa enfatizou a seriedade com que trata a privacidade e a segurança dos dados dos consumidores e está avaliando a situação. Antes da publicação deste artigo, a entrada da Nike no site de vazamentos do World Leaks foi removida, o que pode indicar que a empresa está em negociações ou que um resgate foi pago. No entanto, a Nike ainda não confirmou a alegação de roubo de dados. O World Leaks é considerado uma rebrand do Hunters International, que mudou seu foco de criptografia de arquivos para roubo de dados e extorsão. Este grupo já foi responsável por mais de 280 ataques a diversas organizações, incluindo o Serviço de Marshals dos EUA e a Tata Technologies. O incidente destaca a crescente ameaça de grupos de ransomware e a necessidade de vigilância constante na proteção de dados corporativos.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-8088, no software WinRAR está sendo explorada por diversos grupos de ameaças, tanto patrocinados por estados quanto motivados financeiramente. Essa falha de segurança, que se trata de um erro de travessia de caminho, permite que atacantes escrevam arquivos maliciosos em locais arbitrários, utilizando Fluxos de Dados Alternativos (ADS). Pesquisadores da ESET descobriram a vulnerabilidade e relataram que o grupo RomCom, alinhado à Rússia, a estava explorando em ataques zero-day desde julho de 2025. O Google Threat Intelligence Group (GTIG) confirmou que a exploração da vulnerabilidade continua ativa, com grupos de espionagem e cibercriminosos utilizando-a para implantar malware em pastas de inicialização do Windows. Os atacantes frequentemente ocultam arquivos maliciosos dentro de arquivos de isca, como documentos PDF, que, ao serem abertos, extraem o payload malicioso. Entre os grupos observados estão UNC4895, APT44 e Turla, que utilizam a vulnerabilidade para distribuir uma variedade de malwares, incluindo ferramentas de acesso remoto e ladrões de informações. A exploração dessa vulnerabilidade reflete a crescente comercialização do desenvolvimento de exploits, facilitando ataques a sistemas não corrigidos.

Entidades do governo indiano foram alvo de duas campanhas de ciberespionagem, conhecidas como Gopher Strike e Sheet Attack, atribuídas a um ator de ameaças baseado no Paquistão. As campanhas foram identificadas pela Zscaler ThreatLabz em setembro de 2025 e utilizam técnicas de ataque inovadoras. O Sheet Attack utiliza serviços legítimos como Google Sheets e Firebase para controle de comando e controle (C2), enquanto o Gopher Strike inicia com e-mails de phishing que induzem os usuários a baixar um arquivo ISO malicioso disfarçado de atualização do Adobe Acrobat Reader DC.

A Meta anunciou a adição de uma nova funcionalidade chamada ‘Configurações de Conta Rigorosas’ no WhatsApp, destinada a proteger usuários que podem ser alvos de ataques cibernéticos avançados, como jornalistas e figuras públicas. Essa funcionalidade, semelhante ao Modo de Bloqueio do iOS e à Proteção Avançada do Android, visa aumentar a segurança ao restringir algumas opções de conta e bloquear o recebimento de mídias e anexos de contatos desconhecidos. Ao ativar esse modo, os usuários podem silenciar chamadas de números não salvos e limitar outras configurações que podem comprometer sua segurança. A Meta também anunciou a adoção da linguagem de programação Rust em sua funcionalidade de compartilhamento de mídia, o que promete aumentar a segurança contra ataques de spyware. Essa mudança é parte de uma abordagem mais ampla para garantir a segurança dos usuários, minimizando a exposição a ataques e investindo em garantias de segurança para o código existente. A nova funcionalidade será disponibilizada gradualmente nas próximas semanas, e a Meta enfatiza que essas medidas são um passo importante na defesa contínua contra ameaças cibernéticas.

O gerenciador de senhas 1Password implementou uma nova funcionalidade que avisa os usuários sobre URLs suspeitas de phishing por meio de pop-ups. Essa atualização visa aumentar a segurança dos usuários, ajudando-os a identificar páginas maliciosas e evitando que suas credenciais sejam comprometidas. O serviço, amplamente utilizado, já possui suporte nativo para gerenciamento de passkeys no Windows. Apesar de oferecer essa proteção, a 1Password não preenche automaticamente os dados de login em URLs não cadastradas no cofre, o que significa que os usuários ainda precisam estar atentos a possíveis ataques de typosquatting, onde URLs enganosas podem levar a sites fraudulentos. Uma pesquisa realizada nos EUA revelou que 61% dos usuários já caíram em golpes de phishing, e 75% não verificam a URL antes de clicar em links, o que é especialmente preocupante em ambientes corporativos. A nova funcionalidade será disponibilizada automaticamente para planos individuais e familiares, enquanto administradores de planos empresariais precisarão ativá-la. A 1Password também destacou a crescente utilização de ferramentas de IA em golpes, tornando as páginas falsas mais convincentes do que nunca.

Cerca de 1,5 milhão de usuários do Visual Studio Code (VSCode) podem ter sido impactados por duas extensões maliciosas que se apresentavam como assistentes de inteligência artificial. Pesquisadores da Koi Security identificaram que essas extensões, chamadas ‘ChatGPT – 中文版’ e ‘ChatMoss (CodeMoss)’, foram criadas por hackers chineses e têm como objetivo roubar dados sensíveis, como senhas e informações de criptomoedas. Apesar de oferecerem funcionalidades legítimas, as extensões enviam dados para um servidor malicioso na China sem o conhecimento dos usuários. O ataque é parte de uma campanha denominada ‘MaliciousCorgi’, que utiliza três métodos distintos para exfiltrar informações: monitoramento em tempo real dos arquivos abertos, captura silenciosa de até 50 arquivos e um iframe invisível que rastreia o comportamento do usuário. A Microsoft está ciente do problema e está avaliando a situação, mas as extensões ainda estão disponíveis para download no marketplace do VSCode. Este incidente destaca a necessidade de vigilância constante em relação a ferramentas de desenvolvimento amplamente utilizadas e a importância de verificar a origem das extensões instaladas.

Uma nova campanha de cibersegurança, identificada por pesquisadores da BlackPoint, utiliza um ataque conhecido como ClickFix para explorar scripts do Microsoft Application Virtualization (App-V) e distribuir malware. Os hackers, supostamente norte-coreanos, implementam um CAPTCHA falso que induz a vítima a executar um comando malicioso via PowerShell, resultando na instalação de um infostealer chamado ‘Amatera’. Este malware é projetado para coletar informações sensíveis do usuário, incluindo dados do navegador. A operação é alarmante devido à evolução contínua do Amatera, que se torna mais sofisticado com cada atualização. O ataque começa com uma falsa verificação de CAPTCHA, que instrui o usuário a colar e executar um comando que ativa um script legítimo do App-V, camuflando a atividade maliciosa. Após a execução, o malware se conecta a um arquivo do Google Agenda para recuperar dados codificados e inicia um processo oculto que carrega o infostealer diretamente na memória do dispositivo. Especialistas recomendam que os usuários restrinjam o acesso à função ‘Executar’ do Windows e removam componentes do App-V quando não forem necessários, a fim de mitigar os riscos associados a essa ameaça.

Em 2025, o setor de saúde enfrentou 445 ataques de ransomware a hospitais e clínicas, mantendo-se estável em relação a 2024. No entanto, os ataques a empresas do setor aumentaram em 25%, totalizando 191 incidentes. Embora os ataques a provedores de saúde tenham diminuído no início do ano, houve um aumento significativo de 50% no quarto trimestre. Os dados indicam que mais de 16,5 milhões de registros foram comprometidos, com uma média de demanda de resgate de $615.000, uma queda de 84% em relação ao ano anterior. Os Estados Unidos lideraram o número de ataques, seguidos por países como Austrália e Reino Unido. Os principais grupos de ransomware identificados foram Qilin, INC e Medusa. O impacto desses ataques é alarmante, especialmente considerando que muitos provedores de saúde dependem de terceiros para serviços essenciais, aumentando a vulnerabilidade. O ataque ao hospital belga AZ Monica em janeiro de 2026 destaca a continuidade dessa ameaça. A situação exige atenção redobrada das equipes de segurança da informação, especialmente no Brasil, onde a conformidade com a LGPD pode ser afetada.

Hackers comprometeram a segurança do SoundCloud, resultando no roubo de informações pessoais de mais de 29,8 milhões de contas de usuários. O incidente foi confirmado pela plataforma em 15 de dezembro, após relatos de usuários que enfrentaram dificuldades de acesso e erros 403 ao tentar se conectar via VPN. A empresa ativou seus procedimentos de resposta a incidentes ao detectar atividades não autorizadas em um painel de serviço auxiliar. Embora o SoundCloud tenha afirmado que dados sensíveis, como informações financeiras e senhas, não foram acessados, o ataque expôs endereços de e-mail e dados que já eram públicos nos perfis dos usuários. A gangue de extorsão ShinyHunters foi identificada como responsável pelo ataque, que também tentou extorquir a plataforma. O serviço de notificação de vazamentos Have I Been Pwned confirmou que os dados comprometidos incluíam 30 milhões de endereços de e-mail, nomes, nomes de usuário e estatísticas de perfil. O incidente destaca a vulnerabilidade das plataformas digitais e a necessidade de medidas de segurança robustas para proteger dados de usuários.

O cenário do ransomware em 2025 passou por uma transformação significativa, deixando de ser um problema puramente tecnológico para se tornar uma campanha de extorsão sistemática. As operações de ransomware evoluíram para táticas que vão além da simples criptografia de arquivos, utilizando dados roubados, responsabilidade legal e pressão psicológica em larga escala. Após a desarticulação de grupos como LockBit e BlackSuit em 2024, o ecossistema de ransomware se fragmentou, tornando a atribuição e a interrupção mais difíceis. As campanhas atuais empregam uma variedade de táticas, incluindo extorsão dupla, onde os atacantes não apenas criptografam dados, mas também ameaçam divulgar informações sensíveis publicamente. Pequenas e médias empresas (PMEs) se tornaram alvos preferenciais, especialmente em regiões com alta regulamentação, onde as consequências legais de vazamentos de dados são severas. A pesquisa revela que mais de 90% das vítimas do ransomware SafePay eram PMEs, indicando uma estratégia deliberada de ataque. Além disso, os atacantes utilizam táticas psicológicas para manipular suas vítimas, como pressão temporal e medo de repercussões legais, tornando a extorsão mais eficaz. As organizações precisam repensar suas estratégias de defesa e resposta a incidentes para lidar com essa nova realidade.

Pesquisadores de cibersegurança identificaram um framework de comando e controle (C2) chamado PeckBirdy, utilizado por atores de APT alinhados à China desde 2023. Este framework, baseado em JScript, tem como alvo indústrias de jogos na China e entidades governamentais na Ásia. A Trend Micro relatou que o PeckBirdy é implementado através de LOLBins (living-off-the-land binaries), permitindo sua execução em diversos ambientes. O objetivo principal é enganar usuários com páginas falsas de atualização do Google Chrome, levando-os a baixar arquivos maliciosos. O grupo de ataques SHADOW-VOID-044, que utiliza o PeckBirdy, foi responsável pela injeção de scripts maliciosos em sites de jogos. Além disso, o SHADOW-EARTH-045, que começou em julho de 2024, visou instituições governamentais e privadas, incluindo uma escola nas Filipinas, injetando links do PeckBirdy em páginas de login. O framework é notável por sua flexibilidade, permitindo a execução em diferentes ambientes e a comunicação com servidores via WebSocket. Os pesquisadores também identificaram backdoors associados, como HOLODONUT e MKDOOR, que ampliam as capacidades de ataque. A detecção de frameworks JavaScript maliciosos como o PeckBirdy é desafiadora devido à sua natureza dinâmica e à falta de artefatos persistentes.

Uma falha de segurança crítica foi identificada no Grist-Core, uma versão de planilha-relacional de código aberto, que pode resultar em execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2026-24002 e codinome Cellbreak, foi descoberta pelo pesquisador de segurança Vladimir Tokarev. Ele explica que uma fórmula maliciosa pode transformar uma planilha em um ponto de acesso para execução de comandos do sistema operacional ou JavaScript, quebrando a barreira entre a lógica da célula e a execução no host. Essa falha é classificada como uma fuga do sandbox Pyodide, que também afetou recentemente outra plataforma, n8n. A vulnerabilidade foi corrigida na versão 1.7.9, lançada em 9 de janeiro de 2026. Os administradores devem verificar se estão usando o método de sandboxing ‘pyodide’ e, se sim, atualizar imediatamente. A falha permite que um usuário mal-intencionado execute processos arbitrários no servidor, acessando credenciais de banco de dados e chaves de API. A Grist recomenda que os usuários atualizem para a versão mais recente e, como solução temporária, configurem a variável de ambiente GRIST_SANDBOX_FLAVOR para ‘gvisor’. Essa situação destaca a necessidade de um design de sandbox mais robusto e baseado em capacidades para evitar brechas de segurança.

As equipes de cibersegurança estão se afastando da análise isolada de ameaças e vulnerabilidades, buscando entender como essas interagem em seu ambiente real. A Gestão Contínua de Exposição a Ameaças (CTEM) é uma abordagem que se destaca nesse contexto, promovendo um ciclo contínuo de identificação, priorização e remediação de exposições exploráveis. Definida pela Gartner, a CTEM envolve cinco etapas: escopo, descoberta, priorização, validação e mobilização, visando melhorar a postura de segurança das organizações.

Pesquisadores de cibersegurança revelaram uma nova campanha que combina CAPTCHAs falsos com um script assinado da Microsoft para distribuir um ladrão de informações chamado Amatera. O ataque começa com um prompt de verificação CAPTCHA falso que engana os usuários a colar e executar um comando malicioso no diálogo de execução do Windows. Em vez de invocar o PowerShell diretamente, o atacante utiliza o script ‘SyncAppvPublishingServer.vbs’, associado ao Microsoft Application Virtualization (App-V), para executar um carregador na memória a partir de um servidor externo. Essa técnica, que já foi observada em ataques anteriores, é usada para contornar restrições de execução do PowerShell, tornando a detecção mais difícil. O script malicioso busca dados de configuração em um arquivo de calendário público do Google, permitindo que o atacante ajuste rapidamente a infraestrutura sem precisar redistribuir as etapas anteriores do ataque. A campanha, que tem como alvo principalmente sistemas gerenciados por empresas, destaca a evolução das técnicas de engenharia social, como o ClickFix, que se tornou uma das principais formas de acesso inicial em ataques recentes. Com 47% dos ataques observados pela Microsoft utilizando essa técnica, a necessidade de vigilância e defesa eficaz se torna ainda mais crítica para as organizações.

A empresa de vestuário FullBeauty Brands confirmou um vazamento de dados ocorrido entre outubro e novembro de 2025, afetando pelo menos 1.191 pessoas. O incidente, atribuído ao grupo cibercriminoso Everest, resultou na exposição de nomes e números de Seguro Social. O ataque foi reconhecido pelo Everest, que divulgou os dados supostamente roubados após a empresa não atender ao prazo de resgate. A FullBeauty, por sua vez, não confirmou a reivindicação do grupo e não se sabe se um resgate foi pago. A empresa está oferecendo um ano de monitoramento de crédito e proteção contra roubo de identidade aos afetados. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo NASA e o governo brasileiro, e em 2025, reivindicou 15 ataques confirmados. Os ataques de ransomware em varejistas nos EUA aumentaram, com 23 incidentes registrados em 2025, comprometendo mais de 126 mil registros pessoais. O caso da FullBeauty destaca a vulnerabilidade das empresas de varejo a ataques cibernéticos, que podem resultar em perda de dados e interrupção das operações.

Um novo malware como serviço (MaaS) chamado ‘Stanley’ foi identificado, oferecendo extensões maliciosas para o navegador Chrome que conseguem passar pelo processo de revisão da Chrome Web Store. Desenvolvido por um vendedor que utiliza o pseudônimo Stanley, o serviço permite a realização de ataques de phishing ao sobrepor uma página da web com um iframe em tela cheia, exibindo conteúdo malicioso. Além disso, o Stanley promete instalação silenciosa em navegadores como Chrome, Edge e Brave, e oferece suporte para personalizações. O serviço possui diferentes planos de assinatura, sendo o mais caro o Luxe Plan, que inclui um painel web e suporte completo para publicação das extensões maliciosas. A pesquisa da Varonis destaca que o malware realiza polling de comando e controle a cada 10 segundos e pode rotacionar domínios para evitar desativação. Apesar de sua simplicidade técnica, o modelo de distribuição do Stanley é preocupante, pois permite que extensões maliciosas sejam disponibilizadas em uma das maiores plataformas de complementos de navegador. Especialistas recomendam que os usuários instalem apenas extensões necessárias e verifiquem a confiabilidade dos editores.

Durante a competição Pwn2Own no Automotive World 2026, realizada em Tóquio, pesquisadores revelaram vulnerabilidades preocupantes em sistemas de infoentretenimento e carregadores elétricos de veículos. Um dos destaques foi a demonstração de como um carregador portátil, o Autel MaxiCharger AC Elite Home 40A, pode ser comprometido usando um cartão NFC, permitindo que um invasor assuma o controle total do sistema. Ao longo do evento, foram identificadas 66 vulnerabilidades de dia zero nos primeiros dois dias, com cinco em cada seis tentativas de invasão sendo bem-sucedidas. Os especialistas notaram que muitos ataques se aproveitam de falhas simples e não corrigidas, especialmente em sistemas de infoentretenimento, que são mais fáceis de invadir. Além disso, mesmo com sistemas de segurança complexos, os carregadores elétricos ainda são vulneráveis a ataques via Bluetooth. A falta de processos rigorosos de revisão de segurança em componentes automotivos contribui para a proliferação dessas vulnerabilidades, tornando a situação ainda mais alarmante, já que hackers podem usar ferramentas de manutenção para causar danos sem a necessidade de falhas ativas.

A Kaspersky revelou uma nova campanha de phishing que explora o recurso de convites a equipes da OpenAI para roubar dados bancários de usuários. Os hackers, identificados como norte-coreanos, criam contas empresariais falsas que registram links e números de telefone maliciosos, gerando uma falsa sensação de segurança. Utilizando essas contas, eles enviam e-mails fraudulentos a partir de endereços legítimos, pressionando as vítimas a fornecerem informações financeiras. Os e-mails maliciosos frequentemente alegam renovações de assinatura com valores superiores ou oferecem promoções irresistíveis, levando muitos usuários desavisados a cair na armadilha. Além disso, os criminosos também utilizam táticas de vishing, realizando ligações para pressionar as vítimas em tempo real. A Kaspersky recomenda que os usuários desconfiem de convites não solicitados de plataformas da OpenAI e verifiquem cuidadosamente os endereços de e-mail e números de telefone antes de agir.

Pesquisadores do FortiGuard Labs, da Fortinet, identificaram uma nova campanha de phishing que distribui ransomwares e o trojan de acesso remoto Amnesia RAT, com foco principal na Rússia. Os cibercriminosos utilizam técnicas de engenharia social, disfarçando seus ataques como documentos rotineiros. O que torna essa ameaça particularmente avançada é o uso de serviços de nuvem, como GitHub e Dropbox, para entregar diferentes payloads maliciosos, o que complica a detecção e mitigação. Além disso, os hackers exploram uma ferramenta legítima chamada defendnot para desabilitar o Microsoft Defender, o antivírus padrão do Windows. O ataque envolve o envio de arquivos comprimidos que contêm documentos falsos e um atalho malicioso, que, ao ser executado, baixa o malware via PowerShell. O Amnesia RAT é capaz de roubar informações sensíveis, como dados de navegadores e carteiras de criptomoeda, enquanto o ransomware Hakuna Matata criptografa arquivos e exige resgate. Os pesquisadores alertam que essa campanha demonstra uma nova abordagem, onde os malwares não exploram vulnerabilidades de software, mas abusam de características nativas do Windows, o que torna a defesa ainda mais desafiadora.

A gangue de ransomware ShinyHunters reivindicou a responsabilidade por uma série de ataques de vishing que exploram contas de login único (SSO) em serviços como Google, Microsoft e Okta. Os cibercriminosos utilizam técnicas de engenharia social, se passando por suporte de TI para enganar funcionários e obter credenciais e códigos de autenticação de dois fatores. Uma vez dentro das contas, eles aproveitam o acesso SSO para invadir sistemas corporativos, comprometendo dados sensíveis. Os ataques são facilitados por kits de phishing que imitam sites legítimos em tempo real, adaptando-se às respostas das vítimas durante as chamadas. Embora a Google e a Microsoft tenham negado que seus produtos tenham sido afetados, os hackers afirmam ter utilizado dados de invasões anteriores para contatar funcionários. O uso de SSO, que conecta diversos aplicativos em um único login, aumenta o risco de compromissos em larga escala, especialmente em empresas que utilizam plataformas como Salesforce, Slack e Google Workspace. Este incidente destaca a necessidade urgente de fortalecer a segurança em torno de autenticações e credenciais corporativas.

O grupo de ransomware Rhysida reivindicou a responsabilidade por uma violação de dados ocorrida em novembro de 2025 na Cytek Biosciences, uma fabricante de produtos médicos localizada em Fremont, Califórnia. A violação afetou 331 pessoas, comprometendo informações pessoais sensíveis, incluindo números de Seguro Social, dados de saúde, informações financeiras, e credenciais de contas de funcionários. A Cytek não confirmou se pagou um resgate, e detalhes sobre como a rede foi invadida ainda não foram divulgados. Rhysida, que opera como um serviço de ransomware, já realizou 258 ataques desde sua fundação em 2023, com um histórico de demandas de resgate que podem ultrapassar US$ 3 milhões. Em 2025, ataques a empresas de saúde nos EUA resultaram no comprometimento de mais de 5,86 milhões de registros. A Cytek está oferecendo 24 meses de proteção contra roubo de identidade para as vítimas afetadas. Este incidente destaca a crescente ameaça de ransomware no setor de saúde, que pode comprometer a segurança e a privacidade dos pacientes.

A Comissão Europeia anunciou a abertura de um processo formal sob a Lei de Serviços Digitais (DSA) para investigar se a plataforma X avaliou adequadamente os riscos antes de implementar sua ferramenta de inteligência artificial, Grok. A preocupação surge após relatos de que a ferramenta foi utilizada para gerar imagens sexualmente explícitas manipuladas, incluindo conteúdos que podem ser classificados como material de abuso sexual infantil. A comissária de tecnologia da UE, Henna Virkkunen, destacou que os deepfakes sexuais são uma forma inaceitável de degradação. Além disso, as autoridades do Reino Unido também estão investigando a plataforma, após o uso do chatbot Grok para criar imagens de usuários nus e material de abuso sexual infantil. Em resposta às preocupações, a X anunciou que restringiria as capacidades de geração e edição de imagens do Grok apenas para assinantes pagos, uma decisão criticada por autoridades britânicas como desrespeitosa às vítimas de violência sexual. Como uma plataforma online de grande porte, a X deve mitigar riscos sistêmicos conforme definido pela DSA, incluindo a disseminação de conteúdo ilegal. A Comissão Europeia já multou a X em €120 milhões por violações anteriores de obrigações de transparência sob a DSA.

A Cloudflare divulgou detalhes sobre um vazamento de rota do Protocolo de Gateway de Fronteira (BGP) que ocorreu em 22 de janeiro, afetando o tráfego IPv6. O incidente, que durou 25 minutos, resultou em congestionamento, perda de pacotes e cerca de 12 Gbps de tráfego descartado. O vazamento foi causado por uma configuração de política acidental em um roteador, que permitiu a redistribuição inadequada de rotas entre redes autônomas. Segundo a Cloudflare, o problema ocorreu quando rotas de pares foram redistribuídas em Miami, violando as regras de roteamento ‘valley-free’. Isso resultou em tráfego sendo enviado por caminhos não intencionais, causando congestionamento e, em alguns casos, descarte total do tráfego. Embora o incidente tenha sido rapidamente mitigado, a empresa reconheceu que eventos semelhantes ocorreram anteriormente e listou medidas para evitar recorrências, incluindo a implementação de salvaguardas mais rigorosas e validações de políticas. O incidente destaca a importância da configuração correta de políticas BGP, não apenas para a confiabilidade, mas também para a segurança da rede.

Uma nova campanha de cibersegurança combina o método ClickFix com um CAPTCHA falso e um script assinado do Microsoft Application Virtualization (App-V) para entregar o malware infostealer Amatera. O script do App-V atua como um binário de ’living-off-the-land’, disfarçando a atividade maliciosa ao usar um componente confiável da Microsoft. A campanha inicia-se com um CAPTCHA que solicita que a vítima cole e execute um comando no Windows Run. Esse comando abusa do script legítimo SyncAppvPublishingServer.vbs, que normalmente é utilizado para gerenciar aplicações virtualizadas. O malware, uma versão em desenvolvimento do ACR infostealer, coleta dados de navegadores e credenciais. Durante a execução, ele verifica se está sendo analisado em um ambiente seguro, utilizando técnicas como espera infinita para evitar detecções. O ataque também utiliza esteganografia para ocultar cargas úteis em imagens PNG, que são extraídas e executadas em memória. Para se proteger contra esses ataques, recomenda-se restringir o acesso ao Windows Run, remover componentes do App-V desnecessários e monitorar conexões de saída. A Amatera é classificada como um malware como serviço (MaaS), tornando-se uma ameaça crescente no cenário de segurança cibernética.

Pesquisadores de cibersegurança descobriram duas extensões maliciosas do Microsoft Visual Studio Code (VS Code) que se apresentam como assistentes de codificação baseados em inteligência artificial, mas que possuem funcionalidades ocultas para roubar dados de desenvolvedores e enviá-los a servidores na China. As extensões, que somam 1,5 milhão de instalações, são ‘ChatGPT - 中文版’ e ‘ChatGPT - ChatMoss（CodeMoss）’. Ambas capturam arquivos abertos e modificações de código, enviando essas informações sem o consentimento dos usuários. O código malicioso é projetado para ler o conteúdo de cada arquivo aberto, codificá-lo em formato Base64 e transmiti-lo para um servidor específico. Além disso, as extensões incluem um recurso de monitoramento em tempo real que pode ser ativado remotamente, permitindo a exfiltração de até 50 arquivos de uma vez. A descoberta foi feita pela Koi Security, que também identificou vulnerabilidades em gerenciadores de pacotes JavaScript que podem ser exploradas para contornar controles de segurança. A situação é alarmante, pois as extensões funcionam como prometido, o que reduz a desconfiança dos usuários. A Microsoft e GitHub foram alertadas sobre as falhas e a necessidade de ações corretivas para proteger a cadeia de suprimentos de software.

Pesquisadores de cibersegurança identificaram uma campanha em andamento que visa usuários indianos, utilizando um backdoor em múltiplas etapas como parte de uma suspeita de espionagem cibernética. Segundo a eSentire Threat Response Unit (TRU), os atacantes estão enviando e-mails de phishing que se disfarçam como notificações do Departamento de Imposto de Renda da Índia, induzindo as vítimas a baixar um arquivo ZIP malicioso. Este arquivo contém um executável que, ao ser executado, instala um trojan bancário conhecido como Blackmoon e uma ferramenta legítima chamada SyncFuture TSM, que foi reconfigurada para fins de espionagem.

Pesquisadores de segurança das equipes Carbon Black e Symantec relataram detalhes sobre o novo ransomware Osiris, que vem afetando países da Ásia desde novembro de 2025. Este ransomware, que é vendido como ransomware-as-a-service, utiliza um driver malicioso chamado POORTRY, projetado para desativar aplicativos de segurança nas máquinas das vítimas. Diferente de variantes anteriores, o Osiris não possui relação com o ransomware Locky, que surgiu em 2016. Os ataques são classificados como ’living-off-the-land’, extraindo dados através de buckets Wasabi e utilizando ferramentas como Mimikatz, Netscan, Netexec, MeshAgent e Rustdesk. O uso do driver POORTRY é um diferencial, pois ele é especificamente desenhado para elevar privilégios e fechar ferramentas de segurança, em vez de simplesmente entregar programas vulneráveis. No Brasil, o grupo Makop também tem realizado atividades semelhantes, visando sistemas remotos e utilizando drivers maliciosos. Para se proteger, especialistas recomendam monitorar ferramentas de uso duplo, restringir acessos a sistemas remotos, reforçar a autenticação em duas etapas e proibir aplicativos suspeitos.

Pesquisadores da Okta alertam sobre a crescente sofisticação dos kits de vishing, uma variante de phishing que utiliza chamadas de voz para enganar as vítimas. Esses kits são capazes de criar sites falsos personalizados que imitam serviços populares, como Google e Microsoft, e coletar credenciais de login e códigos de autenticação em tempo real. O processo começa com o perfilamento da vítima, seguido pela construção de um site de phishing que é apresentado durante uma ligação feita por um número falsificado ou roubado. Os golpistas orientam a vítima a inserir suas informações, que são imediatamente utilizadas para tentar acessar as contas reais. A capacidade de atualizar o site em tempo real para capturar códigos de autenticação de dois fatores torna esse ataque particularmente perigoso. Para se proteger, a Okta recomenda o uso de autenticação avançada e chaves de acesso, além de medidas anti-phishing. Essa evolução no vishing representa um risco significativo para usuários e empresas, especialmente em um cenário onde a segurança digital é cada vez mais crítica.

Hackers do grupo Konni, da Coreia do Norte, estão utilizando ferramentas de inteligência artificial para criar e espalhar um malware em PowerShell, visando roubar informações de equipes de engenharia de blockchain. A campanha de spear-phishing, iniciada em janeiro de 2026, tem se concentrado em países como Japão, Austrália e Índia. Os ataques se disfarçam como alertas financeiros, levando as vítimas a baixar arquivos ZIP que contêm um atalho do Windows disfarçado de documento PDF. Esse atalho executa um script AutoIt que instala o trojan EndRAT, que, por sua vez, ativa um loader do PowerShell para extrair documentos do Microsoft Word, distraindo a vítima enquanto um backdoor é instalado. Este backdoor permite que os hackers elevem seus privilégios no sistema e se comuniquem com um servidor C2 criptografado, enviando metadados do usuário. O uso de IA para gerar o malware indica uma evolução nas técnicas de ataque, permitindo uma automação maior e uma padronização do código malicioso, o que pode aumentar a eficácia dos ataques.

Pesquisadores da Palo Alto Networks, através da unidade Unit 42, alertam que hackers estão utilizando Inteligência Artificial Generativa (GenAI) para desenvolver ataques de phishing mais sofisticados e personalizados. A técnica envolve a criação de páginas de phishing dinâmicas que se adaptam ao usuário, utilizando APIs de Modelos de Linguagem de Grande Escala (LLMs) para gerar códigos JavaScript únicos em tempo real. Isso dificulta a detecção por métodos tradicionais, pois o código malicioso não é entregue de forma estática, mas sim gerado na hora, tornando a análise prévia quase impossível. Embora ainda seja uma prova de conceito, a pesquisa indica que os fundamentos para esses ataques já estão sendo explorados, com um aumento no uso de malware e ransomware assistidos por LLMs. Os especialistas recomendam que as empresas restrinjam o uso de serviços LLM não autorizados e implementem medidas de segurança mais robustas para prevenir esses novos tipos de ataques.

A Shadowserver, entidade de monitoramento de segurança na internet, identificou quase 800 mil endereços IP com impressões digitais de Telnet, em meio a ataques que exploram uma vulnerabilidade crítica de bypass de autenticação no servidor telnetd do GNU InetUtils. Essa falha de segurança, identificada como CVE-2026-24061, afeta versões do GNU InetUtils de 1.9.3 a 2.7, sendo corrigida na versão 2.8, lançada em 20 de janeiro. A vulnerabilidade permite que um cliente malicioso se conecte ao servidor telnetd e se logue como root, ignorando os processos normais de autenticação, ao enviar um valor específico na variável de ambiente USER. A atividade maliciosa começou logo após a divulgação da vulnerabilidade, com tentativas de exploração detectadas em 21 de janeiro, utilizando 18 endereços IP em 60 sessões Telnet. Embora a maioria dos ataques pareça automatizada, alguns foram realizados por operadores humanos. Administradores de sistemas são aconselhados a desativar o serviço telnetd vulnerável ou bloquear a porta TCP 23 em seus firewalls, caso não consigam atualizar imediatamente seus dispositivos.

O cenário da cibersegurança está passando por uma transformação significativa devido ao uso crescente de inteligência artificial (IA) por atacantes. Um relatório do Google Threat Intelligence Group destaca como adversários estão utilizando Modelos de Linguagem Grande (LLMs) para ocultar códigos e gerar scripts maliciosos em tempo real, dificultando a detecção por defesas convencionais. Em novembro de 2025, a Anthropic revelou a primeira campanha de espionagem cibernética orquestrada por IA, onde o ataque foi realizado de forma quase autônoma. Além disso, técnicas de esteganografia estão sendo empregadas para esconder malware em arquivos de imagem, enganando usuários e permitindo a instalação de trojans de acesso remoto (RATs) e outros malwares.

O artigo destaca a crescente vulnerabilidade em sistemas de segurança, evidenciada por falhas em ferramentas amplamente utilizadas. Um exemplo crítico é a exploração de uma vulnerabilidade de autenticação em firewalls da Fortinet, que, mesmo após atualizações, ainda apresenta riscos. A empresa confirmou que a falha, relacionada aos CVEs 2025-59718 e 2025-59719, permite que atacantes contornem a autenticação SSO, mesmo em dispositivos atualizados. Além disso, o surgimento de malware como o VoidLink, gerado quase inteiramente por inteligência artificial, representa uma nova era na criação de software malicioso, complicando a atribuição de ataques. Outro ponto alarmante é a vulnerabilidade crítica no daemon telnetd do GNU InetUtils, que permite acesso não autorizado a sistemas, afetando versões desde 1.9.3 até 2.7. O uso de técnicas de vishing e campanhas de malvertising também são destacados, mostrando que os atacantes estão se adaptando rapidamente. O cenário atual exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

O grupo de ameaças cibernéticas norte-coreano conhecido como Konni tem sido observado utilizando malware PowerShell gerado por ferramentas de inteligência artificial (IA) para atacar desenvolvedores e equipes de engenharia no setor de blockchain. A campanha de phishing, que se expandiu para além da Coreia do Sul, agora mira países como Japão, Austrália e Índia. Konni, ativo desde 2014, é conhecido por suas táticas de engenharia social, como o uso de e-mails de spear-phishing que disfarçam links maliciosos como URLs de publicidade legítimas. Recentemente, a campanha denominada Operação Poseidon tem se concentrado em imitar organizações de direitos humanos e instituições financeiras sul-coreanas. Os ataques utilizam sites WordPress mal configurados para distribuir malware e infraestrutura de comando e controle. O malware, chamado EndRAT, é entregue através de arquivos ZIP que contêm atalhos do Windows projetados para executar scripts maliciosos. A análise sugere que a estrutura modular do backdoor PowerShell pode ter sido criada com a ajuda de ferramentas de IA, indicando uma evolução nas táticas do grupo, que agora busca comprometer ambientes de desenvolvimento para acesso mais amplo a projetos e serviços.

A OpenAI está implementando uma atualização significativa para o recurso de chat temporário do ChatGPT, que permitirá aos usuários manter a personalização durante as conversas temporárias, enquanto ainda bloqueia a influência desse chat na conta principal. O chat temporário é uma funcionalidade que inicia uma conversa sem histórico, não utilizando memórias ou conversas anteriores, mesmo com a memória ativada. Com a nova atualização, o chat temporário poderá acessar preferências de personalização, como estilo e tom, mas essa função pode ser desativada a qualquer momento. Além disso, a OpenAI poderá manter uma cópia do chat por até 30 dias por motivos de segurança. Recentemente, a empresa também introduziu um modelo de previsão de idade, que pode restringir contas de usuários adultos que são erroneamente identificados como adolescentes, limitando suas interações em tópicos sensíveis. Embora as contas restritas ainda possam aprender e criar, elas não poderão discutir certos assuntos. A OpenAI alerta que seu modelo de IA não é infalível e pode levar a erros de classificação. Essas mudanças visam melhorar a experiência do usuário, mas também levantam questões sobre privacidade e segurança de dados.

O gerenciador de senhas 1Password implementou uma nova funcionalidade para proteger seus usuários contra URLs de phishing, alertando-os sobre possíveis páginas maliciosas. Essa ferramenta, amplamente utilizada em ambientes corporativos, não preenche automaticamente os dados de login em sites cujos URLs não correspondem aos armazenados no cofre do usuário. Apesar dessa proteção, a empresa reconhece que muitos usuários podem não perceber erros sutis, como domínios com grafias incorretas, e ainda assim inserir suas credenciais. Para mitigar esse risco, o 1Password agora exibe um pop-up que alerta os usuários sobre possíveis tentativas de phishing, incentivando-os a verificar cuidadosamente o URL antes de prosseguir. Essa funcionalidade será ativada automaticamente para usuários individuais e de planos familiares, enquanto administradores poderão habilitá-la manualmente para funcionários de empresas. A pesquisa realizada pela 1Password revelou que 61% dos entrevistados já foram vítimas de phishing, e 75% não verificam URLs antes de clicar em links. Diante do aumento das ameaças de phishing, especialmente com o uso de ferramentas de IA por atacantes, essa nova camada de proteção é crucial para a segurança dos usuários.

O artigo aborda os riscos associados aos metadados presentes em fotos e documentos digitais, que podem comprometer a privacidade dos usuários. Metadados são informações ocultas que acompanham arquivos, como data, hora, modelo da câmera e até coordenadas de GPS. Esses dados podem ser utilizados por pessoas mal-intencionadas para rastrear a localização de indivíduos, facilitando casos de stalking e engenharia social. Embora plataformas como Instagram e Facebook removam metadados durante a publicação, o compartilhamento de arquivos originais via e-mail ou serviços de armazenamento pode expor informações sensíveis. O texto também oferece orientações sobre como visualizar e remover metadados em diferentes sistemas operacionais, destacando a importância de gerenciar essas informações para proteger a privacidade. Apesar de serem úteis para organizar arquivos, os metadados podem se tornar uma ameaça se não forem tratados com cautela.