Cibersegurança

Desafios de Segurança na Era do Desenvolvimento Ágil

O artigo de Ivan Milenkovic discute a crescente tensão entre velocidade e segurança no desenvolvimento de software. Apesar da ideia de ‘shift left’, que sugere que os desenvolvedores assumam mais responsabilidades de segurança, a realidade é que a pressão por entregas rápidas tem levado a práticas arriscadas. A análise de mais de 34.000 imagens de contêineres revelou que cerca de 7,3% eram maliciosas, com 70% delas contendo software de mineração de criptomoedas. Além disso, 42% das imagens continham segredos que poderiam comprometer recursos valiosos, como chaves de acesso AWS. O autor critica a visão de que os desenvolvedores são descuidados, argumentando que eles estão sobrecarregados e que as ferramentas de segurança muitas vezes são vistas como obstáculos à produtividade. Para mitigar esses riscos, Milenkovic sugere que as equipes de infraestrutura implementem controles automáticos que garantam a segurança sem sobrecarregar os desenvolvedores, criando um ‘caminho dourado’ que facilita a conformidade com as práticas de segurança. Essa abordagem visa integrar a segurança ao fluxo de trabalho de desenvolvimento, permitindo que as empresas mantenham a agilidade sem sacrificar a proteção.

Incidente de cibersegurança afeta 1,2 milhão de contas na França

O Ministério das Finanças da França revelou um incidente de cibersegurança que comprometeu dados de aproximadamente 1,2 milhão de contas de usuários. A investigação indicou que hackers obtiveram acesso ao registro nacional de contas bancárias (FICOBA) utilizando credenciais roubadas de um servidor público que tinha acesso à plataforma de compartilhamento de informações interministerial. Os dados expostos incluem detalhes de contas bancárias, identidade dos titulares, endereços físicos e, em alguns casos, números de identificação fiscal. Após a detecção do ataque, o Ministério tomou medidas imediatas para restringir o acesso do invasor, mas acredita-se que os dados já estavam expostos. O FICOBA, gerido pela Direção Geral das Finanças Públicas (DGFiP), é um registro centralizado que documenta a existência e identificadores de contas bancárias na França. O ataque causou interrupções nas operações do sistema, e a restauração com segurança aprimorada está em andamento, sem previsão de retorno. O Ministério notificará individualmente os usuários afetados e alertou sobre tentativas de golpes via e-mail e SMS. A CNIL, autoridade de proteção de dados da França, também foi informada sobre o incidente.

Ucraniano é condenado por facilitar esquema de fraude para a Coreia do Norte

Oleksandr Didenko, um cidadão ucraniano de 29 anos, foi condenado a cinco anos de prisão nos Estados Unidos por seu papel em um esquema de fraude que facilitava a contratação de trabalhadores de tecnologia da informação (TI) da Coreia do Norte. Didenko admitiu ter conspirado para cometer fraude eletrônica e roubo de identidade agravado, ao roubar identidades de cidadãos americanos e vendê-las a trabalhadores de TI, permitindo que eles conseguissem empregos em 40 empresas dos EUA. Os salários recebidos eram enviados de volta ao regime norte-coreano para apoiar seus programas de armamento. Ele foi preso na Polônia em 2024 e extraditado para os EUA. Além da pena de prisão, Didenko deve cumprir 12 meses de liberdade supervisionada e pagar mais de 46 mil dólares em restituição. O esquema envolvia a operação de um site que oferecia identidades roubadas e a criação de ‘fazendas de laptops’ nos EUA, onde equipamentos eram hospedados para dar a impressão de que os trabalhadores estavam localizados no país. Apesar das ações das autoridades, a Coreia do Norte continua a usar novas táticas para infiltrar-se em empresas americanas, o que representa uma ameaça crescente à segurança cibernética.

A Importância da Postura de Identidade na Segurança Cibernética

Um em cada três ataques cibernéticos envolve contas de funcionários comprometidas, levando seguradoras e reguladores a enfatizarem a postura de identidade na avaliação de riscos cibernéticos. A higiene de senhas, a gestão de acesso privilegiado e a cobertura de autenticação multifatorial (MFA) são fatores cruciais que influenciam os custos de seguros. Com o custo médio de uma violação de dados alcançando US$ 4,4 milhões em 2025, mais organizações estão buscando seguros cibernéticos para gerenciar sua exposição financeira. No Reino Unido, a cobertura aumentou de 37% em 2023 para 45% em 2025, mas o aumento no volume de reivindicações está levando as seguradoras a endurecerem os requisitos de subscrição. As seguradoras buscam evidências de que as organizações compreendem e gerenciam ativamente os riscos associados à segurança de identidade. Medidas como auditorias regulares de higiene de senhas e a implementação abrangente de MFA são essenciais para demonstrar maturidade na gestão de riscos. Para melhorar a pontuação de segurança de identidade, as organizações devem eliminar senhas fracas, aplicar MFA em todos os acessos críticos, reduzir o acesso privilegiado permanente e revisar regularmente as permissões de acesso.

Campanha ClickFix usa sites comprometidos para disseminar MIMICRAT

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova campanha chamada ClickFix, que utiliza sites legítimos comprometidos para distribuir um novo trojan de acesso remoto (RAT) conhecido como MIMICRAT. A campanha é caracterizada por sua sofisticação operacional, envolvendo uma cadeia de PowerShell em múltiplas etapas que contorna mecanismos de segurança do Windows, como ETW e AMSI, antes de implantar um loader baseado em Lua. O MIMICRAT, desenvolvido em C++, oferece suporte a funcionalidades avançadas, como a manipulação de tokens do Windows e tunelamento SOCKS5, permitindo um controle abrangente após a exploração. O ataque começa com a injeção de código JavaScript malicioso em um serviço legítimo de validação de BIN, que redireciona a vítima para uma página falsa de verificação do Cloudflare. A execução de comandos PowerShell leva à comunicação com um servidor de comando e controle (C2) para baixar scripts adicionais, culminando na entrega do MIMICRAT. A campanha é capaz de se adaptar a 17 idiomas, aumentando seu alcance. Os alvos incluem uma universidade nos EUA e usuários de língua chinesa, indicando uma abordagem oportunista e ampla.

Ataque à cadeia de suprimentos compromete assistente de codificação Cline CLI

Em um recente ataque à cadeia de suprimentos, o assistente de codificação Cline CLI, que utiliza inteligência artificial, foi atualizado para instalar o OpenClaw, um agente autônomo de IA. O incidente ocorreu em 17 de fevereiro de 2026, quando um token de publicação npm comprometido foi utilizado para publicar a versão 2.3.0 do Cline CLI, que continha um script de pós-instalação não autorizado. Embora a instalação do OpenClaw não tenha sido considerada maliciosa, a atualização afetou todos os usuários que instalaram essa versão durante uma janela de oito horas, resultando em cerca de 4.000 downloads. Para mitigar o problema, os mantenedores do Cline lançaram a versão 2.4.0 e revogaram o token comprometido. O ataque foi facilitado por uma falha de configuração que permitiu a execução de código arbitrário através de uma injeção de prompt, conhecida como Clinejection, que poderia ter consequências graves se os tokens de publicação fossem obtidos por um ator malicioso. O impacto geral é considerado baixo, mas o evento destaca a necessidade de práticas de segurança mais rigorosas para publicações de pacotes.

Ucraniano é condenado por roubo de identidades para norte-coreanos

Oleksandr Didenko, um cidadão ucraniano de 39 anos, foi condenado a cinco anos de prisão por fornecer identidades roubadas a trabalhadores de TI da Coreia do Norte, permitindo que eles se infiltrassem em empresas dos Estados Unidos. Didenko, que se declarou culpado em novembro de 2025, foi preso na Polônia em maio de 2024. Ele concordou em devolver mais de 1,4 milhão de dólares, incluindo dinheiro e criptomoedas. O FBI destacou que Didenko participou de um esquema que envolveu o roubo de identidades de centenas de cidadãos americanos, que foram usadas para garantir empregos fraudulentos em 40 empresas nos EUA. Ele forneceu pelo menos 871 identidades proxy e facilitou a operação de ’laptop farms’ em vários estados e até em outros países, permitindo que os trabalhadores norte-coreanos disfarçassem suas localizações. O FBI já havia alertado sobre a ameaça representada por esses atores, que utilizam identidades roubadas para garantir empregos em empresas americanas. A situação ressalta a necessidade de vigilância e proteção contra fraudes de identidade e ataques cibernéticos, especialmente em um cenário onde a Coreia do Norte mantém uma força de trabalho de TI bem organizada.

FBI alerta sobre ataques de jackpotting em caixas eletrônicos nos EUA

O FBI alertou que os americanos perderam mais de 20 milhões de dólares no ano passado devido a um aumento significativo nos ataques de ‘jackpotting’ em caixas eletrônicos, onde criminosos utilizam malware para forçar as máquinas a liberar dinheiro. Em um alerta divulgado na quinta-feira, o FBI informou que mais de 700 incidentes de jackpotting foram registrados no último ano, um aumento considerável em relação aos cerca de 1.900 incidentes reportados desde 2020. Esses ataques, que podem ser realizados em minutos, visam a camada de software que controla o hardware físico do caixa eletrônico, utilizando ferramentas maliciosas como o malware Ploutus. O FBI explicou que, ao explorar o eXtensions for Financial Services (XFS), o malware permite que os criminosos emitam comandos diretamente ao caixa eletrônico, dispensando a autorização do banco. Para instalar o malware, os atacantes geralmente obtêm acesso físico ao caixa eletrônico, utilizando chaves genéricas. O FBI recomendou que as instituições financeiras realizem auditorias em seus sistemas de caixas eletrônicos para detectar o uso não autorizado de armazenamento removível e processos não autorizados. O alerta surge após uma série de prisões de membros da gangue Tren de Aragua, envolvidos em um esquema de jackpotting que resultou em milhões de dólares em perdas.

Engenheiros do Google são indiciados por roubo de segredos comerciais

Três indivíduos, incluindo duas ex-engenheiras do Google, foram indiciados nos EUA por roubo de segredos comerciais. Samaneh Ghandali, de 41 anos, e sua irmã Soroor Ghandali, de 32 anos, junto com o marido de Samaneh, Mohammad Khosravi, de 40 anos, são acusados de conspirar para roubar informações confidenciais da gigante da tecnologia e transferi-las para locais não autorizados, incluindo o Irã. O Departamento de Justiça dos EUA informou que os réus usaram suas posições em empresas de tecnologia para acessar dados sensíveis, como segredos relacionados à segurança de processadores e criptografia. Eles teriam transferido centenas de arquivos para plataformas de comunicação de terceiros e dispositivos pessoais. Após a detecção das atividades suspeitas, a Google alertou as autoridades e implementou medidas de segurança adicionais. Se condenados, cada um pode enfrentar até 10 anos de prisão por roubo de segredos comerciais e até 20 anos por obstrução da justiça. Este caso destaca a crescente preocupação com ameaças internas e espionagem corporativa no setor de tecnologia.

Aumento de ataques de jackpotting em caixas eletrônicos nos EUA

O FBI alertou sobre um aumento alarmante nos incidentes de jackpotting em caixas eletrônicos nos Estados Unidos, resultando em perdas superiores a 20 milhões de dólares em 2025. Desde 2020, foram registrados cerca de 1.900 casos, com 700 ocorrendo apenas no último ano. Os ataques de jackpotting envolvem o uso de malware especializado, como o Ploutus, que permite que criminosos cibernéticos dispensem dinheiro sem a necessidade de uma transação legítima. Esses ataques geralmente ocorrem quando os invasores acessam fisicamente os caixas eletrônicos, utilizando chaves genéricas disponíveis no mercado. Uma vez dentro, eles podem infectar o dispositivo com malware, que interage diretamente com o hardware do caixa eletrônico, contornando as medidas de segurança do software original. O FBI recomenda que as organizações adotem medidas de segurança rigorosas, como a instalação de sensores de ameaça, câmeras de segurança e a troca de fechaduras padrão, além de auditorias regulares e a configuração de modos de desligamento automático em caso de comprometimento. A crescente incidência desses ataques destaca a necessidade urgente de reforçar a segurança dos caixas eletrônicos, especialmente considerando o impacto financeiro significativo que esses crimes podem causar.

Vazamento de dados da CarGurus resulta em 1,7 milhão de registros roubados

A CarGurus, plataforma de venda de automóveis, foi alvo de um ataque cibernético realizado pelo grupo ShinyHunters, resultando no roubo de 1,7 milhão de registros corporativos. Os hackers utilizaram ataques de vishing, onde se passam por funcionários de TI para enganar colaboradores e obter informações sensíveis. A abordagem envolve ligações telefônicas para funcionários, alegando a necessidade de atualização nas configurações de autenticação multifator (MFA). Após a coleta de credenciais, os atacantes acessam dashboards de serviços como Okta, Entra ou Google SSO, permitindo o roubo de dados de plataformas como Salesforce e Microsoft 365. A CarGurus ainda não se pronunciou sobre o incidente, mas o grupo de hackers ameaçou divulgar os dados na dark web caso a empresa não tome medidas até 20 de fevereiro de 2026. Este ataque representa mais um caso na lista crescente de vítimas do ShinyHunters, que já comprometeu diversas organizações em um curto espaço de tempo.

Malware Android usa IA generativa para persistência em dispositivos

Pesquisadores da ESET identificaram o primeiro malware Android conhecido a utilizar IA generativa em sua execução, denominado ‘PromptSpy’. Este malware se aproveita do modelo Gemini da Google para adaptar sua persistência em diferentes dispositivos. A descoberta ocorreu em fevereiro de 2026, com a primeira versão, chamada VNCSpy, sendo detectada em janeiro do mesmo ano. O PromptSpy utiliza a IA para enviar comandos que permitem ’travar’ aplicativos na lista de aplicativos recentes, dificultando sua remoção. Essa técnica é especialmente eficaz, pois varia entre fabricantes, e a IA ajuda a automatizar o processo. Além de sua capacidade de persistência, o PromptSpy atua como spyware, permitindo acesso remoto completo aos dispositivos infectados, podendo capturar senhas, gravar a tela e interceptar informações sensíveis. Para dificultar a desinstalação, o malware sobrepõe botões invisíveis sobre a interface do usuário. Embora a ESET ainda não tenha observado o PromptSpy em sua telemetria, a presença de domínios dedicados para distribuição sugere que ele pode ter sido utilizado em ataques reais. Essa nova abordagem de malware destaca como a IA generativa pode ser utilizada para aprimorar a eficácia de ataques cibernéticos, representando uma preocupação crescente para a segurança digital.

Vulnerabilidade crítica no Windows Admin Center permite escalonamento de privilégios

A Microsoft divulgou uma vulnerabilidade crítica no Windows Admin Center, identificada como CVE-2026-26119, que permite a um atacante autorizado elevar seus privilégios em uma rede. Com uma pontuação CVSS de 8.8, essa falha foi descoberta pelo pesquisador Andrea Pierini e corrigida na versão 2511 do software, lançada em dezembro de 2025. A vulnerabilidade se origina de uma autenticação inadequada, que possibilita que um usuário padrão obtenha os direitos do usuário que está executando a aplicação afetada. Embora a Microsoft não tenha relatado a exploração ativa dessa falha, ela foi classificada como ‘Exploitation More Likely’, indicando um risco elevado. Pierini alertou que, sob certas condições, essa vulnerabilidade poderia levar a uma comprometimento total do domínio a partir de um usuário padrão. Dada a importância do Windows Admin Center em ambientes corporativos, a correção imediata é essencial para evitar possíveis ataques e garantir a segurança da rede.

Google bloqueia mais de 255 mil apps Android com acesso excessivo a dados

O Google anunciou que, até 2025, bloqueou mais de 255 mil aplicativos Android que tentavam obter acesso excessivo a dados sensíveis dos usuários e rejeitou mais de 1,75 milhão de aplicativos por violação de políticas. Em sua revisão anual de segurança do Android e Google Play, a empresa destacou a eficácia das medidas de proteção implementadas para manter um ecossistema seguro. Para isso, foram realizados mais de 10 mil checagens de segurança em aplicativos publicados, e a detecção de padrões maliciosos foi aprimorada com a integração de modelos de IA generativa. Entre as ações de proteção, o Google baniu mais de 80 mil contas de desenvolvedores considerados ruins e bloqueou 266 milhões de tentativas de instalação de aplicativos arriscados. O Play Protect, que verifica diariamente mais de 350 bilhões de aplicativos, identificou mais de 27 milhões de aplicativos maliciosos que foram instalados fora do Google Play. Além disso, novas proteções contra ataques de ’tapjacking’ foram adicionadas no Android 16. O Google continuará investindo em defesas baseadas em IA e expandindo a verificação de desenvolvedores para prevenir violações de políticas antes da publicação dos aplicativos.

Operação internacional contra cibercrimes resulta em 651 prisões na África

Uma operação internacional contra fraudes online, chamada Operação Red Card 2.0, resultou na prisão de 651 pessoas e na recuperação de mais de 4,3 milhões de dólares. A ação, liderada por agências de segurança de 16 países africanos, ocorreu entre 8 de dezembro de 2025 e 30 de janeiro de 2026, e teve como alvo fraudes em investimentos de alto rendimento, fraudes com dinheiro móvel e aplicações de empréstimos fraudulentas. Durante a operação, foram identificadas 1.247 vítimas, com perdas financeiras estimadas em mais de 45 milhões de dólares. As autoridades confiscavam 2.341 dispositivos e desmantelaram 1.442 IPs, domínios e servidores maliciosos. Casos notáveis incluem a desarticulação de uma rede de fraudes na Nigéria que recrutava jovens para cometer crimes cibernéticos e a prisão de 27 indivíduos no Quênia envolvidos em um esquema de investimento falso. A INTERPOL destacou a importância da colaboração internacional no combate ao cibercrime e incentivou as vítimas a procurarem ajuda das autoridades.

Malware Android usa IA do Google para persistência e execução

Pesquisadores de cibersegurança identificaram o PromptSpy, o primeiro malware para Android que utiliza o chatbot de inteligência artificial Gemini, da Google, para executar suas funções maliciosas e garantir sua persistência no dispositivo. O PromptSpy é capaz de capturar dados da tela de bloqueio, bloquear tentativas de desinstalação, coletar informações do dispositivo, tirar capturas de tela e gravar a atividade da tela em vídeo. O malware se comunica com um servidor de comando e controle para receber instruções sobre como interagir com a interface do usuário, utilizando a IA para adaptar suas ações a diferentes dispositivos e versões do sistema operacional. O principal objetivo do PromptSpy é implantar um módulo VNC que permite acesso remoto ao dispositivo da vítima. A análise sugere que a campanha é motivada financeiramente e direcionada a usuários na Argentina, com indícios de que o malware foi desenvolvido em um ambiente de língua chinesa. O PromptSpy é distribuído por um site dedicado e não está disponível no Google Play, o que aumenta o risco de infecção para os usuários desavisados.

Bug no Copilot do Windows expõe e-mails confidenciais

Um bug no Copilot do Microsoft 365, que começou a ser identificado no final de janeiro de 2026, está permitindo que o assistente de inteligência artificial resuma e-mails confidenciais e exiba dados sigilosos inadvertidamente. O problema, que afeta a ferramenta de resumo de e-mails, ignora as políticas de prevenção de perda de dados que normalmente protegem comunicações sensíveis. O erro foi detectado pela primeira vez em 21 de janeiro e está relacionado ao código CW1226324. A Microsoft confirmou que a falha faz com que o Copilot comece a ler itens enviados e rascunhos, além de mensagens com selo confidencial, o que não era esperado. A empresa está trabalhando na correção do problema e já começou a implementar soluções desde o início de fevereiro, embora não tenha fornecido uma previsão para a resolução total. A Microsoft está monitorando a situação e contatando os usuários afetados para garantir que a funcionalidade retorne ao normal. Este incidente é tratado como um alerta, indicando um impacto potencialmente limitado, mas que ainda assim levanta preocupações sobre a segurança de dados sensíveis.

Texas processa TP-Link por ligações suspeitas com a China e falhas de segurança

O Procurador-Geral do Texas, Ken Paxton, processou a TP-Link, uma gigante de roteadores e redes, alegando que a empresa enganou consumidores sobre a origem de seus produtos e suas promessas de segurança. Segundo a ação, a TP-Link afirma que seus produtos destinados aos EUA são fabricados no Vietnã, mas a maioria dos componentes é importada da China, o que, segundo Paxton, configura uma designação geográfica enganosa. Além disso, o processo menciona a plataforma HomeShield da TP-Link, que promete proteção total contra ameaças cibernéticas, mas que tem sido associada a várias vulnerabilidades, como as campanhas Volt Typhoon e Salt Typhoon. O Texas busca penalidades civis que podem ultrapassar US$ 1 milhão, além de um julgamento por júri. A TP-Link, por sua vez, defende sua posição, afirmando que a ação é infundada e que suas operações são independentes e seguras nos EUA. Este caso levanta preocupações sobre a segurança de dispositivos de rede amplamente utilizados, especialmente em um cenário onde a privacidade e a proteção de dados são cada vez mais cruciais.

Texas processa TP-Link por segurança de roteadores comprometida

O estado do Texas processou a TP-Link Systems, acusando a empresa de marketing enganoso ao promover seus roteadores como seguros, enquanto permitia que hackers apoiados pelo governo chinês explorassem vulnerabilidades de firmware. A ação judicial, iniciada após uma investigação em outubro, alega que a TP-Link enganou os consumidores ao rotular seus produtos como ‘Feito no Vietnã’, apesar de quase todos os componentes serem originários da China. O procurador-geral do Texas, Ken Paxton, destacou que a legislação chinesa pode obrigar empresas a cooperar com solicitações de inteligência do governo, colocando em risco a segurança dos dados dos usuários. O processo menciona falhas de segurança anteriores, incluindo a utilização de roteadores TP-Link em uma botnet de roubo de credenciais, que foi ligada a ataques cibernéticos contra os Estados Unidos. A TP-Link, por sua vez, negou as acusações, afirmando que é uma empresa americana independente e que todos os dados dos usuários nos EUA são armazenados em servidores da Amazon Web Services. O caso levanta preocupações sobre a segurança de dispositivos conectados e a proteção de dados dos consumidores, especialmente em um contexto onde a vigilância e a exploração de dados são temas cada vez mais relevantes.

Nigeriano é condenado a 8 anos por fraudes fiscais nos EUA

Matthew Abiodun Akande, um cidadão nigeriano de 37 anos, foi condenado a oito anos de prisão por hackear várias empresas de preparação de impostos em Massachusetts e apresentar declarações fiscais fraudulentas que buscavam mais de US$ 8,1 milhões em reembolsos. Akande foi preso em outubro de 2024 no Aeroporto de Heathrow, em Londres, e extraditado para os Estados Unidos em março de 2025. Ele foi indiciado em julho de 2022, enquanto residia no México.

CISA ordena correção urgente de vulnerabilidade crítica da Dell

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade crítica da Dell em seus sistemas em um prazo de três dias. A falha, identificada como CVE-2026-22769, está sendo explorada ativamente por um grupo de hackers suspeito de ser ligado à China, conhecido como UNC6201. Essa vulnerabilidade, que envolve credenciais hardcoded no Dell RecoverPoint, uma solução para backup e recuperação de máquinas virtuais VMware, permite que os atacantes acessem redes de vítimas e implantem malwares, incluindo uma nova backdoor chamada Grimbolt. A CISA incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV), destacando a urgência de mitigações. Além disso, a CISA também alertou sobre outra vulnerabilidade crítica em instâncias do BeyondTrust Remote Support, exigindo ações rápidas para proteger as redes. A situação ressalta a importância de uma resposta ágil a vulnerabilidades críticas, especialmente em um cenário onde grupos de hackers estão cada vez mais sofisticados e ativos.

Novas ameaças cibernéticas e evolução de ransomware em 2026

O cenário de cibersegurança continua a evoluir rapidamente, com novas ameaças e táticas emergindo constantemente. O Google lançou a versão beta do Android 17, que inclui melhorias significativas em privacidade e segurança, como a descontinuação do tráfego em texto claro e suporte à criptografia híbrida HPKE. Por outro lado, o ransomware LockBit 5.0 se destaca por suas técnicas avançadas de evasão e suporte a múltiplas plataformas, incluindo Proxmox, um alvo crescente entre empresas. Além disso, novas campanhas de engenharia social, como ClickFix, estão explorando usuários de macOS através de técnicas de obfuscação, levando à instalação de malware e roubo de credenciais. A detenção de um suspeito na Polônia, ligado ao grupo de ransomware Phobos, e o aumento de ataques a organizações industriais, com um crescimento de 49% em grupos de ransomware focados nesse setor, destacam a gravidade da situação. A Microsoft também enfrentou um problema de segurança com o Copilot, que resumiu e-mails confidenciais sem permissão, violando políticas de proteção de dados. Esses eventos ressaltam a necessidade urgente de que as organizações reavaliem suas estratégias de segurança e resposta a incidentes.

Novo malware bancário para Android se disfarça de app IPTV

Um novo malware bancário para Android, denominado Massiv, está se disfarçando como um aplicativo de IPTV para roubar identidades digitais e acessar contas bancárias online. O malware utiliza sobreposições de tela e keylogging para obter dados sensíveis e pode assumir o controle remoto de dispositivos comprometidos. Pesquisadores da ThreatFabric observaram uma campanha que visava um aplicativo do governo português, que se conecta ao sistema de autenticação digital Chave Móvel Digital. Os dados obtidos podem ser usados para contornar verificações de KYC e acessar serviços bancários e públicos. O Massiv permite que os operadores controlem remotamente o dispositivo infectado, utilizando modos de transmissão ao vivo e extração de dados estruturados. A pesquisa também destacou uma tendência crescente de uso de aplicativos IPTV como iscas para infecções por malware, especialmente em países como Portugal, Espanha, França e Turquia. Os usuários de Android são aconselhados a baixar apenas aplicativos de fontes confiáveis e a manter o Play Protect ativo para proteger seus dispositivos.

Campanha CRESCENTHARVEST visa roubo de dados de apoiadores de protestos no Irã

Pesquisadores de cibersegurança revelaram detalhes sobre a campanha CRESCENTHARVEST, que parece ter como alvo apoiadores dos protestos no Irã, visando roubo de informações e espionagem a longo prazo. A Acronis Threat Research Unit (TRU) observou atividades suspeitas a partir de 9 de janeiro, onde ataques foram projetados para entregar um trojan de acesso remoto (RAT) e um ladrão de informações. Os ataques utilizam arquivos .LNK disfarçados como imagens ou vídeos relacionados aos protestos, aumentando a credibilidade para atrair iranianos que falam farsi. Embora a origem da campanha não tenha sido atribuída, acredita-se que seja obra de um grupo de ameaças alinhado ao Irã. O vetor de acesso inicial ainda não é conhecido, mas suspeita-se do uso de spear-phishing e engenharia social. Os arquivos maliciosos contêm código PowerShell que baixa um arquivo ZIP com um executável legítimo da Google, que é utilizado para realizar atividades maliciosas, como roubo de credenciais e dados do sistema. A campanha CRESCENTHARVEST representa uma continuidade de operações de espionagem cibernética de estado-nação, refletindo táticas bem estabelecidas de acesso inicial e coleta de dados.

Novo trojan Android Massiv ameaça segurança bancária

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan para Android chamado Massiv, que facilita ataques de tomada de controle de dispositivos (DTO) visando o roubo financeiro. O malware se disfarça como aplicativos IPTV inofensivos, atraindo usuários em busca de serviços de TV online. Segundo a ThreatFabric, o Massiv permite que os operadores controlem remotamente dispositivos infectados, realizando transações fraudulentas nas contas bancárias das vítimas.

Entre suas funcionalidades, o Massiv utiliza técnicas como streaming de tela, keylogging e sobreposições falsas em aplicativos financeiros, solicitando que os usuários insiram suas credenciais. Um dos alvos identificados foi o aplicativo gov.pt, que gerencia documentos de identificação em Portugal. Os criminosos têm usado as informações capturadas para abrir contas bancárias em nome das vítimas, facilitando atividades como lavagem de dinheiro.

Hackers usam IRC para criar botnet em PCs Linux

Uma nova botnet chamada SSHStalker tem sido utilizada por hackers para controlar sistemas Linux, utilizando o protocolo Internet Relay Chat (IRC) para comunicação. De acordo com a empresa de cibersegurança Flare, a botnet explora vulnerabilidades do kernel do Linux, permitindo o comprometimento em massa de dispositivos. O ataque é automatizado e visa servidores com SSH aberto na porta 22, permitindo que os hackers invadam os sistemas de maneira semelhante a um worm. Uma vez dentro, a botnet pode realizar ataques de negação de serviço distribuídos (DDoS), mineração de criptomoedas e proxyjacking, além de manter acesso persistente ao sistema sem ser detectada. O SSHStalker também utiliza um scanner em Golang para localizar servidores vulneráveis e executa arquivos em C para apagar registros de conexão SSH, dificultando a detecção de suas atividades. Pesquisadores suspeitam que a operação tenha origem romena, com base em gírias e nomenclaturas encontradas nos canais de IRC. A botnet é capaz de comprometer até versões antigas do Linux, datadas de 2009, e possui um catálogo extenso de malware e ferramentas maliciosas de código aberto.

Extensões falsas de IA no Chrome roubam credenciais por e-mail

Pesquisadores da LayerX identificaram 30 extensões maliciosas para o Google Chrome que se disfarçam como assistentes de inteligência artificial (IA) com o objetivo de roubar informações sensíveis dos usuários, especialmente via Gmail. Mais de 300 mil pessoas já instalaram pelo menos uma dessas extensões, que ainda estão disponíveis na Chrome Web Store, apesar de suas atividades maliciosas. As extensões, como AI Sidebar e ChatGPT Translate, conectam-se a uma infraestrutura de domínio único, permitindo que os hackers coletem credenciais, conteúdos de e-mails e dados de navegação. Ao serem instaladas, essas ferramentas não oferecem a funcionalidade prometida, mas injetam scripts maliciosos que extraem informações em segundo plano, incluindo senhas e textos de conversas. A integração com o Gmail permite que os atacantes leiam e-mails e rascunhos, aproveitando-se da interação entre assistentes de IA e a plataforma. Essa situação representa um risco significativo para a segurança dos dados dos usuários, especialmente em um cenário onde a privacidade e a proteção de informações pessoais são cruciais.

Senhas geradas por ChatGPT e Gemini não são seguras, alertam especialistas

Especialistas da empresa de cibersegurança Irregular emitiram um alerta sobre as vulnerabilidades das senhas geradas por ferramentas de inteligência artificial, como ChatGPT, Gemini e Claude. A análise revelou que, embora essas senhas pareçam complexas e seguras, na realidade, elas podem ser facilmente decifradas por cibercriminosos. Durante os testes, foram solicitadas senhas de 16 caracteres que incluíssem letras maiúsculas, minúsculas, números e caracteres especiais. Apesar de muitos verificadores online indicarem que essas senhas eram robustas, os pesquisadores descobriram que as senhas apresentavam padrões comuns, tornando-as previsíveis. Por exemplo, ao solicitar 50 senhas ao Claude, apenas 30 eram únicas, e muitas começavam e terminavam com os mesmos caracteres. O Gemini 3 Pro se destacou ao gerar senhas menos padronizadas, mas ainda assim alertou que essas senhas não deveriam ser usadas em contas sensíveis. O estudo destaca a necessidade de cautela ao utilizar senhas geradas por IA, especialmente em contas que lidam com informações críticas.

IA ajuda hackers a criar malware mais rápido e complexo

A ascensão da Inteligência Artificial Generativa (GenAI) está transformando o cenário da cibersegurança, permitindo que hackers desenvolvam malware de forma mais rápida e complexa. Um relatório da Palo Alto, intitulado ‘Unit 42 Global Incident Response Report’, revela que o tempo necessário para exfiltração de dados caiu de cinco horas para apenas 72 minutos, um aumento significativo na eficiência dos ataques. O navegador continua sendo o principal alvo, com 48% dos incidentes ocorrendo nesse ambiente, mas a complexidade dos ataques está crescendo, com 87% das intrusões abrangendo múltiplas superfícies de ataque. Além disso, fraquezas de identidade e ataques à cadeia de suprimentos estão se tornando comuns, com 65% dos acessos iniciais resultantes de engenharia social. Os ataques a aplicações SaaS aumentaram quase quatro vezes desde 2022, representando 23% de todos os ataques. Os operadores de ransomware estão mudando seu foco de criptografia para a extração de dados, o que torna a detecção mais difícil para os defensores. Essa evolução no uso da IA pelos atacantes representa um desafio crescente para a comunidade de cibersegurança, exigindo uma resposta mais robusta e ágil das organizações.

Grupo de ransomware Rhysida ataca sistemas das Tribos Cheyenne e Arapaho

O grupo de ransomware Rhysida reivindicou a responsabilidade por um ataque cibernético ocorrido em 8 de dezembro de 2025, que afetou os sistemas de TI das Tribos Cheyenne e Arapaho. A liderança tribal anunciou publicamente o incidente em 7 de janeiro de 2026, informando que 80% de seus sistemas estavam operacionais um mês após o ataque. Rhysida exigiu um resgate de 10 bitcoins, equivalente a cerca de R$ 700 mil, em troca da recuperação dos dados. Embora a tribo tenha tomado medidas imediatas para proteger as informações dos membros e a infraestrutura crítica, não está claro se houve perda de dados ou se o resgate foi pago. Este não é o primeiro incidente de ransomware enfrentado pelas Tribos Cheyenne e Arapaho, que já haviam sido atacadas em 2021. Rhysida, que opera um modelo de ransomware como serviço, já reivindicou 104 ataques confirmados, sendo 21 contra entidades governamentais. Em 2025, foram registrados 83 ataques de ransomware a entidades governamentais nos EUA, com um impacto significativo na segurança de dados e operações governamentais.

Assistentes de IA podem ser usados em ataques de comando e controle

Pesquisadores da Check Point, uma empresa de cibersegurança, descobriram que assistentes de IA como Grok e Microsoft Copilot podem ser explorados para intermediar atividades de comando e controle (C2) em ataques cibernéticos. A técnica envolve o uso de uma interface web de IA para relatar comunicações entre um servidor C2 e a máquina alvo, permitindo que atacantes enviem comandos e recuperem dados roubados sem serem detectados. O malware se comunica com o assistente de IA através do componente WebView2 do Windows 11, que pode ser embutido no próprio malware caso não esteja presente no sistema da vítima. A pesquisa demonstrou que essa abordagem cria um canal de comunicação bidirecional, confiável para ferramentas de segurança da internet, dificultando a detecção. O uso de serviços de IA para C2 elimina a necessidade de contas ou chaves de API, tornando a rastreabilidade e a aplicação de bloqueios mais complicadas. Embora existam salvaguardas para bloquear trocas maliciosas, os pesquisadores afirmam que essas podem ser facilmente contornadas através da criptografia de dados. A Check Point alertou a Microsoft e a xAI sobre suas descobertas, mas ainda não houve resposta sobre a vulnerabilidade do Copilot.

Uso de tecnologia de extração forense em dissidentes no Quênia

Uma nova pesquisa do Citizen Lab revelou que autoridades quenianas utilizaram uma ferramenta forense comercial da empresa israelense Cellebrite para acessar o telefone de Boniface Mwangi, um ativista pro-democracia, durante sua detenção em julho de 2025. O telefone, que foi devolvido a Mwangi em setembro, não estava mais protegido por senha, indicando que a tecnologia da Cellebrite foi empregada para extrair dados sensíveis, como mensagens e informações pessoais. Este caso se junta a um relatório anterior que indicava o uso da mesma tecnologia por autoridades jordanianas para acessar dispositivos de ativistas críticos ao governo. A Cellebrite defendeu sua tecnologia, afirmando que é utilizada em conformidade com processos legais. Além disso, um relatório da Anistia Internacional destacou o uso do spyware Predator em Angola, que comprometeu o iPhone de um jornalista. O spyware permite acesso irrestrito a dispositivos e possui mecanismos sofisticados para evitar detecção. Esses incidentes refletem um padrão crescente de abusos de vigilância por governos, levantando preocupações sobre a privacidade e os direitos humanos.

Hackers usam aplicativos de monitoramento para invadir redes corporativas

O grupo de ransomware conhecido como Crazy está explorando softwares legítimos de monitoramento de funcionários, como o Net Monitor for Employees Professional e a plataforma de suporte SimpleHelp, para realizar invasões em redes corporativas. Segundo um estudo da empresa de segurança Huntress, os cibercriminosos utilizam esses aplicativos para se infiltrar nas máquinas das vítimas, aproveitando-se de redes vulneráveis e disfarçando suas atividades como ações administrativas normais. Uma vez dentro do sistema, os hackers conseguem transferir arquivos, executar comandos e obter permissões de administrador, além de instalar ferramentas adicionais para garantir o acesso contínuo. Um dos métodos utilizados inclui a desativação do Windows Defender e a configuração de alertas em caso de acesso a carteiras de criptomoeda. Essa abordagem de usar ferramentas legítimas para realizar ataques de ransomware representa uma nova tática que dificulta a detecção por parte das equipes de segurança. A Huntress recomenda que as organizações monitorem de perto a instalação não autorizada de aplicativos de suporte para proteger dados sensíveis contra roubo.

Google revela que hackers usam Gemini em golpes de vagas falsas

O Google identificou que um grupo hacker da Coreia do Norte, denominado UNC2970, está utilizando a ferramenta de inteligência artificial Gemini para realizar ciberataques, especialmente focados em campanhas de phishing relacionadas a ofertas de emprego falsas. A equipe de inteligência de ameaças do Google relatou que os hackers estão empregando a IA para traçar perfis de potenciais vítimas, coletando dados sensíveis através da técnica de OSINT (Open Source Intelligence). O grupo tem como alvo principal empresas de cibersegurança, onde mapeiam funções técnicas e informações salariais para criar campanhas de phishing personalizadas. Embora os detalhes dos ataques não tenham sido amplamente divulgados, a utilização de ferramentas de IA por hackers levanta preocupações sobre a segurança cibernética em escala global. O Google alerta que, embora os usuários das ferramentas de IA não sejam diretamente impactados, a forma como essas tecnologias podem ser exploradas para fins maliciosos é alarmante. O UNC2970 tem se mostrado cada vez mais ativo, enganando sistemas e se passando por recrutadores em busca de profissionais para vagas que não existem.

Homem de Glendale é condenado por tráfico de drogas na dark web

Davit Avalyan, um homem de 36 anos de Glendale, foi condenado a quase cinco anos de prisão federal por seu envolvimento em uma operação de tráfico de drogas na dark web, que vendia substâncias como cocaína, metanfetamina, MDMA e cetamina para clientes em todo os Estados Unidos. Avalyan recebeu uma sentença de 57 meses do juiz federal Percy Anderson, após se declarar culpado em outubro de 2025 por conspiração para distribuir narcóticos. Ele foi o último dos quatro réus a ser sentenciado, com seus cúmplices recebendo penas que variam de 24 a 10 anos. A operação, que funcionou de setembro de 2018 a fevereiro de 2025, utilizava uma extensa rede de contas de vendedores na dark web, incluindo nomes como JoyInc e PlanetHollywood, e enviava drogas através do Serviço Postal dos EUA. O FBI, em colaboração com outras agências, liderou a investigação, que destaca a crescente preocupação com o tráfico de drogas online e a utilização de criptomoedas para transações ilícitas. Este caso é um exemplo da eficácia das forças de segurança em desmantelar redes criminosas que operam na dark web.

Erro no Microsoft 365 Copilot expõe e-mails confidenciais

A Microsoft confirmou um erro no Microsoft 365 Copilot que tem causado a exposição de e-mails confidenciais desde janeiro de 2023. O bug, identificado como CW1226324, afeta a funcionalidade de chat da aba de trabalho do Copilot, que resume incorretamente e-mails armazenados nas pastas de Itens Enviados e Rascunhos, incluindo mensagens com rótulos de confidencialidade. Esses rótulos foram criados para restringir o acesso a ferramentas automatizadas, mas o Copilot está ignorando essas configurações. A Microsoft começou a implementar uma correção em fevereiro, mas ainda não divulgou um cronograma para a resolução completa do problema. A empresa está monitorando a situação e contatando usuários afetados para verificar a eficácia da solução. Este incidente levanta preocupações significativas sobre a proteção de dados sensíveis e a conformidade com políticas de prevenção de perda de dados (DLP), especialmente em um contexto onde a segurança da informação é cada vez mais crítica para as organizações.

Hackers roubam dados de quase 1 milhão de contas da Figure Technology

A Figure Technology Solutions, uma empresa de tecnologia financeira baseada em blockchain, sofreu uma violação de dados que resultou no roubo de informações pessoais de aproximadamente 1 milhão de contas. O incidente, que não foi divulgado publicamente pela empresa, foi confirmado por um porta-voz em uma declaração ao TechCrunch, que mencionou que os atacantes obtiveram acesso a um número limitado de arquivos por meio de um ataque de engenharia social. A plataforma de empréstimos fintech teve dados de 967.200 contas expostos, incluindo endereços de e-mail, nomes, números de telefone, endereços físicos e datas de nascimento. O grupo de extorsão ShinyHunters assumiu a responsabilidade pelo ataque, publicando 2,5 GB de dados supostamente roubados de candidatos a empréstimos. O ataque se insere em uma série de violações recentes que afetaram outras empresas de destaque, como Canada Goose e Match Group, muitas das quais foram alvo de campanhas de phishing por voz (vishing) que visavam contas de login de acesso único (SSO). A situação destaca a crescente ameaça de ataques de engenharia social e a importância de medidas de segurança robustas para proteger dados sensíveis.

Microsoft enfrenta problemas com e-mails legítimos em Exchange Online

A Microsoft relatou um incidente em seu serviço Exchange Online, onde e-mails legítimos foram incorretamente colocados em quarentena devido a falhas nas regras de detecção heurística, que visavam bloquear campanhas de phishing. O problema, que começou em 5 de fevereiro e foi resolvido em 12 de fevereiro, afetou milhares de usuários, impedindo a abertura de links em mensagens e resultando em alertas de URLs potencialmente maliciosos que se mostraram falsos positivos. A causa raiz foi identificada como um erro lógico no sistema de detecção, que, após uma atualização, começou a sinalizar URLs legítimos em uma taxa muito maior do que o esperado. Além disso, outros sistemas de segurança da Microsoft amplificaram o impacto do incidente, e um bug separado atrasou a reversão das regras de detecção falhas. A empresa ainda não divulgou o número total de usuários afetados, mas classificou o evento como um “incidente”, indicando um impacto significativo. Um relatório final será publicado em até cinco dias úteis após a resolução completa do problema.

Automação de Fluxos de Trabalho em Cibersegurança Oportunidades e Desafios

As equipes de segurança, TI e engenharia enfrentam uma pressão constante para acelerar resultados e maximizar o uso de inteligência artificial (IA) e automação. Um estudo revela que 88% das provas de conceito de IA não chegam à produção, apesar de 70% dos trabalhadores desejarem liberar tempo para atividades de maior valor. O artigo apresenta três casos de uso que demonstram como fluxos de trabalho inteligentes podem transformar a automação em processos eficazes.

Vulnerabilidade crítica no Dell RecoverPoint explorada por grupo ligado à China

Uma vulnerabilidade de segurança de severidade máxima no Dell RecoverPoint for Virtual Machines, identificada como CVE-2026-22769, está sendo explorada como um zero-day por um grupo de ameaças suspeito de estar ligado à China, denominado UNC6201. Essa falha, que afeta versões anteriores à 6.0.3.1 HF1, envolve credenciais hard-coded que permitem a um atacante remoto não autenticado acessar o sistema operacional subjacente e obter persistência em nível root. A Dell recomenda que o RecoverPoint seja utilizado em redes internas confiáveis e controladas, uma vez que não é adequado para redes não confiáveis ou públicas. O grupo UNC6201 tem como alvo organizações na América do Norte e utiliza um backdoor chamado GRIMBOLT, que é mais difícil de detectar. Além disso, a atividade do grupo está relacionada a outras campanhas de espionagem, destacando a importância de monitorar e proteger sistemas que não suportam soluções tradicionais de detecção e resposta a endpoints (EDR).

Cibersegurança em 2026 Desafios e Estratégias em um Mundo Instável

Em 2026, o cenário de cibersegurança se caracteriza por uma instabilidade contínua, onde ameaças impulsionadas por inteligência artificial (IA) se adaptam em tempo real. As organizações precisam não apenas reagir a regulamentações, mas integrá-las como parâmetros permanentes em suas arquiteturas de segurança. A pressão geopolítica também influencia o ambiente cibernético, exigindo que as estratégias de segurança considerem riscos de cadeia de suprimentos e atividades cibernéticas alinhadas a estados.

A abordagem tradicional de prever ataques está se tornando obsoleta; agora, a prioridade é moldar as condições que dificultam o sucesso dos atacantes. Tecnologias como Defesa de Alvo em Movimento Automatizada (AMTD) e Gestão Contínua de Exposição a Ameaças (CTEM) são essenciais para encurtar a janela de oportunidade dos invasores. Além disso, a IA é cada vez mais integrada nas ferramentas de segurança, melhorando a eficiência na detecção e resposta a incidentes.

Vulnerabilidades em extensões do Visual Studio Code expõem riscos sérios

Pesquisadores de cibersegurança revelaram múltiplas vulnerabilidades em quatro extensões populares do Microsoft Visual Studio Code (VS Code), que, se exploradas, podem permitir que atacantes roubem arquivos locais e executem códigos remotamente. As extensões afetadas, que somam mais de 125 milhões de instalações, incluem Live Server, Code Runner, Markdown Preview Enhanced e Microsoft Live Preview. As vulnerabilidades identificadas são: CVE-2025-65717, que permite a exfiltração de arquivos locais através de um site malicioso; CVE-2025-65716, que possibilita a execução de JavaScript arbitrário via arquivos markdown; e CVE-2025-65715, que permite a execução de código ao manipular o arquivo ‘settings.json’. A vulnerabilidade no Microsoft Live Preview foi corrigida silenciosamente pela Microsoft. Para mitigar os riscos, recomenda-se desabilitar extensões não essenciais, evitar configurações não confiáveis e manter um firewall ativo. A pesquisa destaca que uma única extensão maliciosa pode comprometer toda uma organização, tornando a segurança das extensões uma prioridade crítica para desenvolvedores e empresas.

CISA adiciona novas vulnerabilidades exploradas ativamente ao KEV

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando a exploração ativa dessas falhas. Entre elas, a CVE-2026-2441, uma vulnerabilidade de uso após a liberação no Google Chrome, com uma pontuação CVSS de 8.8, que pode permitir que atacantes remotos explorem a corrupção de heap através de uma página HTML manipulada. Outra vulnerabilidade, a CVE-2024-7694, afeta o TeamT5 ThreatSonar Anti-Ransomware, permitindo o upload de arquivos maliciosos. A CVE-2020-7796, com uma pontuação CVSS de 9.8, é uma falha de falsificação de solicitação do lado do servidor (SSRF) no Zimbra Collaboration Suite, que pode dar acesso não autorizado a informações sensíveis. Por fim, a CVE-2008-0015, uma vulnerabilidade de estouro de buffer no controle ActiveX do Windows, também foi adicionada. A CISA recomenda que as agências federais apliquem correções até 10 de março de 2026 para garantir proteção adequada.

Notepad corrige falhas de segurança após ataque de grupo chinês

O Notepad++ lançou uma atualização de segurança, versão 8.9.2, para corrigir vulnerabilidades exploradas por um grupo de ameaças avançadas da China. O ataque permitiu que os invasores sequestrassem o mecanismo de atualização do software, entregando malware a alvos específicos. A nova versão implementa um design de ‘dupla segurança’, que inclui a verificação do instalador assinado baixado do GitHub e a verificação do XML assinado retornado pelo servidor de atualizações. Além disso, foram feitas alterações significativas no componente de atualização automática, WinGUp, como a remoção de riscos de side-loading de DLLs e a restrição da execução de plugins apenas a programas assinados com o mesmo certificado. A atualização também corrige uma vulnerabilidade crítica (CVE-2026-25926) que poderia permitir a execução de código arbitrário. O incidente foi detectado após um comprometimento no provedor de hospedagem, que redirecionou usuários para servidores maliciosos desde junho de 2025. Usuários do Notepad++ são aconselhados a atualizar para a versão mais recente e garantir que os instaladores sejam baixados do domínio oficial.

Notepad implementa novo mecanismo de atualização para segurança

O Notepad++ lançou a versão 8.9.2, que introduz um novo mecanismo de atualização denominado “double-lock” para mitigar vulnerabilidades de segurança que resultaram em compromissos na cadeia de suprimentos. O sistema combina a verificação do instalador assinado do GitHub com a validação de um arquivo XML assinado digitalmente do domínio notepad-plus-plus.org. Essa abordagem visa criar um processo de atualização mais robusto e seguro. Além disso, foram implementadas mudanças como a remoção do libcurl.dll para evitar riscos de side-loading e a restrição da execução de plugins apenas a programas assinados com o mesmo certificado. O Notepad++ também trocou de provedor de hospedagem e corrigiu falhas exploradas em ataques anteriores, que foram atribuídos a um grupo de ameaças ligado à China. Os usuários são aconselhados a atualizar para a nova versão e garantir que os instaladores sejam baixados do domínio oficial.

Vulnerabilidades críticas em extensões do Visual Studio Code expõem dados

Pesquisadores da Ox Security identificaram vulnerabilidades de alta a crítica em extensões populares do Visual Studio Code (VSCode), que foram baixadas mais de 128 milhões de vezes. As falhas afetam as extensões Live Server (CVE-2025-65715), Code Runner (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) e Microsoft Live Preview. Essas vulnerabilidades podem ser exploradas para roubar arquivos locais e executar código remotamente. O CVE-2025-65717, por exemplo, permite que um atacante roube arquivos locais ao direcionar a vítima a uma página maliciosa. Já o CVE-2025-65715 possibilita a execução remota de código ao manipular o arquivo de configuração da extensão. Os pesquisadores tentaram alertar os mantenedores das extensões desde junho de 2025, mas não obtiveram resposta. A Ox Security recomenda que os desenvolvedores evitem executar servidores localhost desnecessários e que removam extensões não confiáveis, além de monitorar alterações inesperadas nas configurações. Essas falhas representam um risco significativo para ambientes corporativos, podendo levar a movimentos laterais na rede e exfiltração de dados sensíveis.

Novo backdoor no Android permite controle remoto de dispositivos

Um novo backdoor chamado Keenadu foi identificado pela Kaspersky em dispositivos Android, especialmente em firmwares de tablets como o Alldocube iPlay 50 mini Pro. O malware, que se infiltra durante a fase de construção do firmware, permite que atacantes coletem dados e controlem remotamente os dispositivos. A Kaspersky detectou que o Keenadu foi encontrado em atualizações OTA e que ele carrega assinaturas digitais válidas, dificultando sua detecção. O malware injeta um loader em cada aplicativo ao ser iniciado, permitindo acesso a funcionalidades como redirecionamento de buscas e monetização de instalações de aplicativos. Até agora, 13.715 usuários em todo o mundo foram afetados, com a maioria dos casos registrados na Rússia, Japão, Alemanha, Brasil e Países Baixos. A arquitetura cliente-servidor do Keenadu permite que ele execute cargas maliciosas personalizadas, além de contornar permissões de aplicativos, comprometendo a segurança do sistema Android. A descoberta do Keenadu é alarmante, pois representa uma nova forma de ataque que pode afetar a privacidade e a segurança dos usuários de dispositivos Android.

Inteligência Artificial como Proxy de Comando e Controle Nova Ameaça

Pesquisadores em cibersegurança revelaram que assistentes de inteligência artificial (IA) com capacidades de navegação na web podem ser utilizados como relés de comando e controle (C2) por atacantes. Essa técnica, chamada de ‘IA como proxy C2’, foi demonstrada em ferramentas como Microsoft Copilot e xAI Grok. O método permite que os atacantes se misturem a comunicações empresariais legítimas, dificultando a detecção. Ao explorar o acesso anônimo à web e prompts de navegação, os atacantes podem gerar fluxos de trabalho de reconhecimento, automatizar ações e decidir dinamicamente os próximos passos durante uma intrusão. O uso de IA como proxy C2 transforma assistentes em canais de comunicação bidirecionais, permitindo que comandos sejam emitidos e dados da vítima sejam extraídos sem a necessidade de chaves de API ou contas registradas. Essa abordagem se assemelha a campanhas de ataque que utilizam serviços confiáveis para distribuição de malware. Para que essa técnica funcione, o invasor deve ter previamente comprometido uma máquina e instalado malware que utilize o assistente de IA como canal de C2. A evolução dessa técnica representa um risco significativo, pois pode automatizar decisões operacionais em tempo real, aumentando a eficácia dos ataques.

Santander, Ticketmaster e Tinder quem é o grupo ShinyHunters?

O grupo hacker ShinyHunters, ativo desde 2020, tem se destacado por uma série de ataques cibernéticos a grandes empresas, incluindo Santander, Ticketmaster e Tinder. Recentemente, o grupo invadiu o Match Group, resultando no vazamento de 1,7 GB de dados de clientes, afetando até 10 milhões de usuários. O ShinyHunters se diferencia por sua abordagem sutil, focando no roubo de credenciais armazenadas em nuvem, ao invés de utilizar métodos tradicionais de ransomware. Eles utilizam táticas de engenharia social, como vishing, para enganar funcionários e obter informações sensíveis. A presença do grupo na dark web, especialmente no BreachForums, facilita a venda de dados vazados e a orquestração de novos ataques. A evolução das táticas do ShinyHunters torna suas ações mais sofisticadas e perigosas, representando uma ameaça significativa para a segurança digital das empresas. Especialistas alertam que a combinação de ataques direcionados e a exploração de vulnerabilidades humanas pode resultar em prejuízos financeiros e danos à reputação das organizações.

Compras online 7 cuidados essenciais para evitar golpes

O aumento das compras online trouxe também um crescimento significativo nos golpes virtuais, com 45,1% das denúncias de fraudes relacionadas a compras digitais, segundo o Mapa de Fraudes em Compras Digitais no Brasil. Os tipos mais comuns de fraudes incluem lojas online falsas, clonadas e vendedores de itens usados. Os golpistas frequentemente utilizam e-mails, WhatsApp e SMS para enganar os consumidores, criando mensagens que imitam comunicações legítimas. Esses golpes costumam apelar para gatilhos emocionais, como urgência e exclusividade, para induzir as vítimas a clicarem em links maliciosos. Para se proteger, especialistas recomendam verificar a reputação do site, analisar a origem dos contatos, desconfiar de ofertas tentadoras, denunciar anúncios falsos, evitar cadastrar cartões em sites, conferir o destinatário de transações via Pix e utilizar autenticação de dois fatores. Essas medidas são essenciais para garantir a segurança nas compras online e evitar prejuízos financeiros e o roubo de dados pessoais.