Cibersegurança

Pesquisadores de cibersegurança revelaram detalhes sobre o trojan bancário para Android ERMAC 3.0, que apresenta uma evolução significativa em suas capacidades de injeção de formulários e roubo de dados, visando mais de 700 aplicativos de bancos, compras e criptomoedas. Inicialmente documentado em setembro de 2021, o ERMAC é atribuído ao ator de ameaças DukeEugene e é considerado uma evolução dos malwares Cerberus e BlackRock.

A nova versão inclui métodos de injeção de formulários aprimorados, um painel de comando e controle (C2) reformulado, um novo backdoor para Android e comunicações criptografadas com AES-CBC. A Hunt.io conseguiu acessar o código-fonte completo do malware, revelando falhas críticas na infraestrutura dos operadores, como um segredo JWT codificado e um token de administrador estático. Essas vulnerabilidades oferecem oportunidades para que defensores rastreiem e interrompam operações ativas do ERMAC.

O grupo de hackers conhecido como EncryptHub está explorando uma falha de segurança já corrigida no Microsoft Windows para disseminar malware. A Trustwave SpiderLabs identificou uma campanha que combina engenharia social e a exploração da vulnerabilidade CVE-2025-26633, também chamada de MSC EvilTwin. Os atacantes se passam por membros do departamento de TI e enviam solicitações pelo Microsoft Teams para estabelecer conexões remotas e implantar cargas maliciosas usando comandos PowerShell. Entre os arquivos utilizados, dois arquivos MSC com o mesmo nome são entregues, um benigno e outro malicioso, que ativa a vulnerabilidade. O arquivo malicioso se conecta a um servidor de comando e controle (C2) para receber e executar comandos, incluindo um stealer chamado Fickle Stealer. Além disso, os atacantes utilizam plataformas legítimas, como o Brave Support, para hospedar malware. A campanha destaca a importância de estratégias de defesa em camadas e treinamento de conscientização para usuários, dada a combinação de engenharia social e exploração técnica utilizada pelos hackers.

A equipe Lat61 de Inteligência de Ameaças da Point Wild identificou um clone malicioso do popular jogo Minecraft, chamado Eaglercraft 1.12 Offline, que contém um trojan de acesso remoto (RAT) conhecido como NjRat. Este malware permite que cibercriminosos roubem senhas, acessem webcams e microfones, e controlem máquinas infectadas sem o conhecimento do usuário. A popularidade de Minecraft, especialmente entre crianças e adolescentes, torna os jogadores alvos vulneráveis a esses ataques. O Eaglercraft é disfarçado como um launcher baseado em navegador e, ao ser executado, instala um backdoor chamado ‘WindowsServices.exe’, que se inicia automaticamente com o sistema operacional. O NjRat, que existe desde 2013, é um dos malwares mais persistentes, sendo frequentemente distribuído por e-mails de phishing e softwares piratas. A ameaça é agravada pela recente popularidade do jogo, impulsionada pelo lançamento de um filme live-action, aumentando a busca por conteúdos relacionados. A pesquisa destaca a necessidade de conscientização e precauções ao baixar jogos e aplicativos não oficiais.

Um novo golpe de phishing está sendo utilizado por cibercriminosos que se aproveitam da popularidade do Booking.com para enganar usuários. Os atacantes enviam e-mails para pessoas que possuem anúncios na plataforma, informando que houve uma reclamação sobre seu anúncio e que devem agir rapidamente para evitar a suspensão. O link contido no e-mail parece legítimo, mas, ao analisá-lo mais de perto, é possível notar que um caractere hiragana japonês foi utilizado no lugar da barra normal, o que é uma técnica conhecida como ’typosquatting’. Essa prática visa confundir as vítimas, levando-as a clicar em links maliciosos que instalam malware em seus dispositivos. O pesquisador de segurança que relatou o incidente, JAMESWT, observou que o site falso pode servir como um instalador de malware, como infostealers e trojans de acesso remoto (RAT). Para se proteger, os usuários são aconselhados a revisar cuidadosamente mensagens recebidas, especialmente aquelas não solicitadas, e a verificar links e anexos antes de clicar. O ataque destaca a importância de uma vigilância constante em relação a comunicações digitais.

Pesquisadores de cibersegurança alertam para a venda de contas de e-mail comprometidas do FBI e de outras agências governamentais dos EUA na dark web, com preços a partir de US$ 40. Essas contas são oferecidas em plataformas de mensagens criptografadas, como Telegram e Signal, e podem ser usadas para enviar solicitações de emergência fraudulentas a empresas de tecnologia. Os criminosos oferecem acesso completo às contas, permitindo o envio de mensagens, anexação de arquivos maliciosos e acesso a plataformas que exigem verificação governamental. A venda dessas credenciais representa um risco significativo, pois pode facilitar campanhas de malware em larga escala e a divulgação de dados sensíveis, como endereços IP e números de telefone. Os métodos utilizados para obter essas contas incluem o uso de malware, phishing e técnicas de engenharia social, que exploram vulnerabilidades humanas e técnicas. A crescente comercialização de contas de e-mail de instituições respeitáveis destaca a commoditização da confiança institucional, onde contas ativas e verificadas são reutilizadas para fraudes imediatas.

O Mount Rogers Community Services Board, localizado na Virgínia Ocidental, notificou 38.191 pessoas sobre um vazamento de dados ocorrido em abril de 2025, que comprometeu informações sensíveis de pacientes, incluindo números de Seguro Social, datas de nascimento, informações de seguros e dados médicos. Além disso, informações de funcionários e seus dependentes também foram expostas. O grupo de ransomware conhecido como Inc reivindicou a responsabilidade pelo ataque em junho de 2025, publicando amostras de documentos supostamente roubados. O Mount Rogers não confirmou se um resgate foi pago ou como a rede foi comprometida. O incidente foi descoberto entre 27 e 29 de abril de 2025, quando a organização percebeu problemas em seus sistemas. Para mitigar os danos, o Mount Rogers está oferecendo serviços gratuitos de monitoramento de crédito e identidade aos afetados. O grupo Inc, que surgiu em julho de 2023, já realizou 116 ataques confirmados, com um foco crescente em instituições de saúde, onde os ataques podem causar sérios riscos à privacidade e segurança dos pacientes. Em 2025, já foram registrados 53 ataques de ransomware em provedores de saúde nos EUA, comprometendo mais de 3,4 milhões de registros.

Um ator de ameaça persistente avançada (APT) de língua chinesa, identificado como UAT-7237, tem atacado entidades de infraestrutura web em Taiwan desde 2022, utilizando ferramentas de código aberto personalizadas para garantir acesso prolongado a ambientes de alto valor. A Cisco Talos atribui a atividade a este grupo, que é considerado um subgrupo de UAT-5918, conhecido por atacar infraestrutura crítica desde 2023. Os ataques se caracterizam pelo uso de um carregador de shellcode chamado SoundBill, que decodifica e lança cargas secundárias como o Cobalt Strike. Diferente de UAT-5918, que rapidamente implanta web shells, UAT-7237 utiliza o cliente VPN SoftEther para manter o acesso e posteriormente acessa os sistemas via RDP. Os atacantes exploram falhas de segurança conhecidas em servidores desatualizados, realizando reconhecimento inicial para determinar o valor do alvo. Além disso, ferramentas como JuicyPotato e Mimikatz são usadas para escalonamento de privilégios e extração de credenciais. A configuração do cliente VPN revela que os operadores são proficientes em chinês simplificado, indicando uma possível origem geográfica. Este cenário destaca a necessidade de vigilância constante e atualizações de segurança em sistemas expostos à internet.

Uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088, está sendo explorada por cibercriminosos para instalar malware em computadores sem o conhecimento dos usuários. A falha, com uma pontuação de 8.8 na escala CVSS, permite que arquivos maliciosos sejam extraídos para pastas do sistema operacional ao abrir arquivos aparentemente inofensivos. Descoberta pela ESET em julho de 2025, a vulnerabilidade afeta todas as versões do WinRAR até a 7.12 e foi corrigida na versão 7.13, lançada em 30 de julho. O ataque utiliza uma técnica chamada “path traversal” em combinação com “Alternate Data Streams” (ADS), permitindo que arquivos maliciosos sejam colocados em locais críticos do Windows, como a pasta de inicialização. A falta de um sistema de atualização automática no WinRAR torna milhões de usuários vulneráveis, especialmente ao abrir arquivos RAR suspeitos. O grupo de hackers RomCom, conhecido por suas operações sofisticadas, está por trás dessa exploração, utilizando malwares como SnipBot e RustyClaw para roubar dados e manter controle sobre os sistemas infectados. A atualização imediata do WinRAR é essencial para evitar compromissos de segurança.

Pesquisadores de segurança da Trend Micro descobriram uma nova ferramenta maliciosa, chamada RealBlindingEDR, que está sendo utilizada por um grupo de ransomware conhecido como Crypto24. Essa ferramenta é capaz de desativar a proteção de antivírus em dispositivos, permitindo que os hackers implantem malware adicional sem serem detectados. O RealBlindingEDR possui uma lista codificada de nomes de empresas de antivírus, como Trend Micro, Kaspersky e McAfee, e ao ser executado, busca esses nomes na metadata dos drivers para desativar os mecanismos de detecção. Além de desativar a proteção, a ferramenta pode desinstalar completamente os programas antivírus. Após conseguir acesso inicial, o grupo Crypto24 geralmente implanta um keylogger e um software de criptografia, exfiltrando dados roubados para o Google Drive. Embora a identidade do grupo ainda seja desconhecida, eles já atacaram várias organizações de grande porte em setores como finanças e tecnologia. Para mitigar esses riscos, especialistas recomendam uma estratégia de defesa em camadas, incluindo antivírus com proteção contra manipulação e ferramentas anti-malware adicionais.

A HexStrike AI, plataforma líder em cibersegurança impulsionada por inteligência artificial, anunciou uma nova atualização que integra assistentes de IA como ChatGPT, Claude e Copilot com mais de 150 ferramentas de segurança, incluindo Burp Suite e Nmap. Essa atualização, parte da versão 6.0 da HexStrike AI, permite que desenvolvedores e pesquisadores de segurança realizem testes de penetração e avaliações de vulnerabilidades de forma autônoma e em uma escala sem precedentes. A arquitetura multi-agente da HexStrike AI conta com 12 agentes especializados que colaboram para executar fluxos de trabalho de segurança complexos. Através do protocolo “FastMCP”, os assistentes de IA podem invocar diretamente as ferramentas de segurança, automatizando tarefas como reconhecimento de rede e desenvolvimento de exploits. Profissionais de segurança agora podem, por exemplo, solicitar uma auditoria de segurança em um site e ver a execução automática de testes em segundos. A HexStrike AI v6.0 está disponível sob uma licença MIT de código aberto, permitindo que desenvolvedores integrem facilmente suas ferramentas de segurança com assistentes de IA.

Uma pesquisa da Fortinet revelou que o Brasil acumulou 315 bilhões de tentativas de ciberataques no primeiro semestre de 2025, representando mais de 80% do total de ataques na América Latina. Durante o Fortinet Cybersecurity Summit 2025, o vice-presidente de engenharia da empresa, Alexandre Bonatti, destacou que a maioria dos ataques no Brasil é direcionada, visando alvos específicos e com o objetivo de monetização. Os criminosos agora tratam os ataques como uma estratégia de negócios, buscando maximizar lucros. O Brasil se torna um alvo atraente devido à combinação de grandes instituições e baixa maturidade em segurança cibernética, especialmente em um cenário de transformação digital. Bonatti também mencionou que setores que utilizam Internet das Coisas (IoT), como indústria e saúde, estão entre os mais vulneráveis, principalmente quando operam com dispositivos desprotegidos ou desatualizados. A pesquisa indica que a educação em cibersegurança no Brasil ainda é precária, o que facilita a exploração por criminosos. Com o aumento da lucratividade dos ataques, a situação exige atenção urgente das empresas e profissionais de segurança da informação.

O Brasil se destaca como o país mais atacado da América Latina em cibersegurança, com mais de 514 mil incidentes registrados no segundo semestre de 2024, representando mais da metade dos 1,06 milhões de ataques na região. O relatório da Netscout revela um aumento de quase 30% em relação ao semestre anterior. Os ataques mais comuns incluem negação de serviço distribuído (DDoS) e ransomware, frequentemente visando extorquir empresas por meio de resgates em criptomoedas. A crescente sofisticação dos ataques, impulsionada pelo uso de inteligência artificial, permite que criminosos automatizem campanhas e criem e-mails falsos convincentes. O Brasil não apenas é um alvo, mas também um vetor de ciberataques, com a fragilidade das redes corporativas sendo um fator crítico. Especialistas alertam que a segurança deve ir além do perímetro das redes, abrangendo dispositivos pessoais, devido a vulnerabilidades como a falha no protocolo de roaming SS7. Para mitigar esses riscos, a Netscout propõe uma plataforma que utiliza inteligência artificial para detectar anomalias e proteger as infraestruturas digitais. O cenário exige que as empresas invistam em prevenção e monitoramento contínuo para enfrentar a crescente ameaça cibernética.

Um levantamento realizado pela OLX revelou que o golpe do ‘falso pagamento’ foi o crime mais prevalente em 2024, representando 46% de todas as fraudes em compras online no Brasil. Este tipo de fraude resultou em um prejuízo estimado de R$ 1,61 bilhão para os consumidores. O golpe, também conhecido como ‘golpe da compra aprovada’, ocorre quando o criminoso se faz passar por um comprador e envia um comprovante de pagamento falso. A vítima, acreditando que o valor já foi creditado, envia o produto, mas acaba descobrindo que o dinheiro nunca foi depositado. Para evitar cair nessa armadilha, especialistas recomendam que os vendedores confirmem o recebimento do pagamento antes de entregar o item. Além disso, é importante estar atento a sinais de alerta, como pressa excessiva do comprador, pedidos de dados pessoais desnecessários e exigências de taxas extras. Caso identifique comportamentos suspeitos, a orientação é interromper a negociação e denunciar o perfil na plataforma. A OLX já implementa soluções que centralizam pagamentos e entregas, oferecendo maior segurança aos usuários.

Um novo ataque cibernético está explorando uma falha no sistema de convites do Discord, permitindo que hackers sequestram links de convites expirados para redirecionar usuários a servidores fraudulentos. Ao clicar em links antigos, as vítimas são levadas a um canal de verificação onde um bot as instrui a executar um comando PowerShell malicioso. Essa técnica, conhecida como ‘ClickFix’, engana os usuários a infectarem seus próprios sistemas com malwares como AsyncRAT e Skuld Stealer. A vulnerabilidade reside na forma como o Discord gerencia os links de convite, que, quando expirados, podem ser registrados por cibercriminosos. Pesquisadores identificaram mais de 1.300 downloads dos arquivos maliciosos, com vítimas em diversos países, incluindo Estados Unidos e Reino Unido. Para se proteger, é aconselhável desconfiar de links antigos e evitar executar comandos desconhecidos. Administradores de servidores devem priorizar o uso de links de convite permanentes, que são mais difíceis de serem sequestrados.

Pesquisadores de cibersegurança da Hunt.io descobriram e analisaram o código-fonte completo do ERMAC V3.0, um dos trojans bancários mais sofisticados para Android. O vazamento ocorreu em março de 2024, quando a equipe identificou um diretório exposto contendo o pacote completo do malware, incluindo seu backend em PHP e Laravel, frontend em React e servidor de exfiltração em Golang. O ERMAC V3.0 é capaz de atacar mais de 700 aplicativos de bancos, compras e criptomoedas globalmente, utilizando técnicas avançadas de injeção de formulários para roubar credenciais e dados financeiros. A análise revelou vulnerabilidades críticas, como segredos JWT hardcoded e credenciais padrão não alteradas, que podem ser exploradas por defensores. Além disso, o malware utiliza criptografia AES-CBC, mas com uma chave e nonce hardcoded, o que facilita sua detecção. A Hunt.io também conseguiu vincular o código vazado a operações ativas do ERMAC, destacando a necessidade urgente de medidas de segurança mais robustas contra esse tipo de ameaça.

A Cisco emitiu um alerta de segurança crítico sobre uma vulnerabilidade de alta severidade em seu software Secure Firewall Threat Defense (FTD), que pode permitir que atacantes realizem ataques de negação de serviço (DoS). A falha, identificada como CVE-2025-20217, afeta o componente Snort 3 Detection Engine e foi publicada em 14 de agosto de 2025. Com uma pontuação CVSS de 8.6, a vulnerabilidade resulta do processamento incorreto de tráfego de rede durante a inspeção de pacotes. Um atacante remoto não autenticado pode explorar essa falha enviando tráfego especialmente elaborado, fazendo com que o sistema entre em um loop infinito durante a inspeção, resultando em uma condição de DoS que pode interromper funções críticas de segurança da rede. A Cisco recomenda que as organizações verifiquem se o Snort 3 está ativo em suas instalações do FTD, pois apenas dispositivos com esse motor habilitado são suscetíveis. Não existem soluções alternativas, e a única forma de mitigar o problema é através da atualização do software, que já está disponível gratuitamente para clientes com contratos de serviço ativos. A empresa não encontrou evidências de exploração ativa da vulnerabilidade até o momento.

Em 2020, mais de 75% da população mundial se identificou com alguma religião, totalizando cerca de 6 bilhões de pessoas. Com o aumento do uso de aplicativos para acessar conteúdos religiosos, surge a preocupação sobre a segurança desses aplicativos. Uma análise de 158 apps populares da Google Play Store revelou que, em média, cada um solicita 21 permissões, sendo 3,7 classificadas como ‘perigosas’. Essas permissões incluem acesso a dados sensíveis como localização, câmera e armazenamento. A pesquisa destacou que 46% dos aplicativos podem violar as normas de privacidade do Google, com 20 deles não mencionando o acesso à câmera em suas políticas de privacidade. Além disso, 56 apps não informaram o período de retenção de dados, e 48 não explicaram como os usuários podem deletar suas informações. A falta de transparência pode colocar em risco a privacidade dos usuários, especialmente considerando que alguns aplicativos são voltados para crianças. A segurança dos dados pessoais deve ser uma prioridade, e os usuários precisam estar cientes das permissões que estão concedendo ao utilizar esses aplicativos.

A gangue de ransomware Interlock reivindicou a responsabilidade por um ataque cibernético ao governo local de Box Elder County, em Utah, ocorrido em 6 de agosto de 2025. O ataque resultou em interrupções em alguns serviços do condado, embora os processos eleitorais não tenham sido afetados. A Interlock afirma ter roubado 4,5 TB de dados, totalizando cerca de 2,1 milhões de arquivos, e publicou amostras desses documentos em seu site de vazamento. Até o momento, Box Elder County não confirmou a veracidade das alegações da gangue, e não se sabe se um resgate foi pago ou como os atacantes conseguiram invadir a rede do condado. A investigação sobre o incidente ainda está em andamento. A Interlock, que começou a operar em outubro de 2024, já reivindicou 25 ataques confirmados, afetando quase 2,6 milhões de registros. Os ataques de ransomware a entidades governamentais nos EUA têm aumentado, com 47 incidentes confirmados apenas neste ano. Esses ataques não apenas sequestram dados, mas também podem causar paralisações prolongadas e riscos de fraude para os cidadãos.

O Centro de Coordenação de Resposta a Incidentes de Segurança do Japão (JPCERT/CC) divulgou que entre setembro e dezembro de 2024, foram observados ataques utilizando um framework de comando e controle (C2) chamado CrossC2. Este framework expande a funcionalidade do Cobalt Strike para plataformas como Linux e macOS, permitindo controle cruzado de sistemas. Os atacantes usaram ferramentas como PsExec e Plink, além de um malware personalizado denominado ReadNimeLoader, que atua como carregador para o Cobalt Strike. O ReadNimeLoader, escrito na linguagem Nim, executa código diretamente na memória para evitar rastros no disco. Os ataques visaram servidores Linux, que frequentemente não possuem sistemas de detecção e resposta a ameaças (EDR), tornando-os alvos vulneráveis. A campanha de ataque também mostrou sobreposição com atividades de ransomware BlackSuit/Black Basta, indicando um cenário de ameaça crescente. JPCERT/CC enfatiza a necessidade de maior atenção a esses servidores, dada a falta de proteção adequada e o potencial de comprometimento adicional.

Pesquisadores identificaram uma nova técnica de ataque chamada MadeYouReset, que afeta várias implementações do protocolo HTTP/2, permitindo a realização de ataques de negação de serviço (DoS) em larga escala. Essa vulnerabilidade contorna o limite de 100 requisições HTTP/2 simultâneas por conexão TCP, que foi estabelecido para mitigar ataques DoS. Com o MadeYouReset, um atacante pode enviar milhares de requisições, causando a exaustão de recursos do servidor e, em alguns casos, levando a falhas de memória. A vulnerabilidade foi identificada com o CVE-2025-8671 e impacta produtos como Apache Tomcat, F5 BIG-IP e Netty. O ataque explora a forma como os servidores lidam com o quadro RST_STREAM, permitindo que um atacante induza o servidor a resetar streams válidos, sem precisar enviar um quadro RST_STREAM. Essa técnica representa uma evolução nas vulnerabilidades do HTTP/2, que já enfrentou outros ataques como Rapid Reset e CONTINUATION Flood. O CERT/CC alertou que a complexidade dos abusos de protocolos modernos torna a proteção contra ataques como o MadeYouReset mais crítica do que nunca.

A Cisco divulgou atualizações de segurança para corrigir uma falha de alta severidade no software Secure Firewall Management Center (FMC), identificada como CVE-2025-20265, com uma pontuação CVSS de 10.0. Essa vulnerabilidade afeta a implementação do subsistema RADIUS, permitindo que um atacante remoto e não autenticado injete comandos de shell arbitrários que podem ser executados pelo dispositivo. A falha ocorre devido à falta de tratamento adequado da entrada do usuário durante a fase de autenticação, possibilitando que um invasor envie dados maliciosos ao tentar autenticar-se no servidor RADIUS configurado. Para que a exploração seja bem-sucedida, o Cisco Secure FMC Software deve estar configurado para autenticação RADIUS na interface de gerenciamento baseada na web ou no SSH. As versões afetadas incluem 7.0.7 e 7.7.0, e não há alternativas além da aplicação dos patches fornecidos pela Cisco. Além dessa vulnerabilidade crítica, a Cisco também corrigiu várias outras falhas de alta severidade, todas exigindo atenção imediata dos usuários para evitar possíveis explorações. Embora nenhuma das falhas tenha sido explorada ativamente até o momento, é crucial que os usuários atualizem suas instâncias para as versões mais recentes.

O Departamento do Tesouro dos EUA renovou sanções contra a plataforma de câmbio de criptomoedas russa Garantex, acusada de facilitar atividades de ransomware e outros crimes cibernéticos, processando mais de US$ 100 milhões em transações ilícitas desde 2019. As sanções também foram estendidas ao sucessor da Garantex, Grinex, e a três de seus executivos. O Tesouro destacou que o uso de ativos digitais para lavagem de dinheiro e ataques de ransomware representa uma ameaça à segurança nacional e prejudica a reputação de provedores legítimos de serviços de ativos virtuais. Garantex já havia sido sancionada em abril de 2022 por facilitar transações de mercados darknet. Após a apreensão do site da Garantex em março de 2025, a plataforma rebranded como Grinex, continuando a processar transações ilícitas. O Tesouro também anunciou recompensas por informações que levem à prisão de executivos da Garantex. Além disso, o Departamento de Justiça dos EUA revelou a apreensão de mais de US$ 2,8 milhões em criptomoedas relacionadas a atividades de ransomware, destacando a importância de ações coordenadas contra redes criminosas.

A crescente variedade de golpes online exige atenção redobrada dos internautas para proteger seus dados pessoais e financeiros. Entre os principais tipos de fraudes estão o falso suporte ao cliente, onde golpistas se passam por empresas conhecidas para obter informações sensíveis, e o malvertising, que utiliza anúncios infectados para instalar softwares maliciosos nos dispositivos dos usuários. Também são comuns os sites falsos de viagens que oferecem promoções inexistentes e mensagens enganosas sobre rastreamento de pacotes ou cobranças de pedágio, que geralmente solicitam cliques em links ou pagamentos para liberar entregas ou regularizar débitos. Para evitar prejuízos, adotar uma postura cética é fundamental. Desconfie de contatos inesperados por telefone, e-mail ou mensagens, e nunca clique em links duvidosos ou forneça dados pessoais sem antes confirmar a identidade do remetente através dos canais oficiais da empresa. Ao navegar na internet, é crucial verificar se o site é seguro, certificando-se de que o endereço comece com ‘https’. No caso de cobranças, como taxas de pedágio ou entrega, é recomendado entrar em contato com a empresa responsável por meio de canais oficiais para confirmar a veracidade da solicitação. Esteja sempre alerta e bem informado para se proteger das fraudes digitais em constante evolução.

Uma nova técnica de phishing está utilizando serviços de encapsulamento de links, como os da Proofpoint e Intermedia, para criar ataques mais eficazes direcionados a usuários do Microsoft 365. Entre junho e julho de 2025, a equipe de segurança de e-mail da Cloudflare descobriu uma campanha criminosa que mascara URLs maliciosas, levando as vítimas a páginas falsas com o intuito de roubar credenciais de acesso. Os cibercriminosos exploram a confiança que os usuários depositam em domínios reconhecidos, aumentando a probabilidade de cliques em links fraudulentos. A técnica envolve o uso de serviços de encurtamento de links, que são posteriormente encapsulados por sistemas de proteção, criando uma cadeia de redirecionamentos que oculta a verdadeira natureza do link. Isso torna os ataques mais convincentes e perigosos, levando a um aumento significativo das fraudes. O impacto é vasto, com riscos financeiros diretos e comprometimento de contas pessoais, potencializando o roubo de identidade. Em 2024, o e-mail foi responsável por 25% dos relatos de fraudes, com perdas financeiras significativas. As organizações enfrentam riscos elevados de violação de dados e sanções regulatórias, uma vez que o roubo de credenciais se tornou uma preocupação crescente. Para se proteger, é necessário implementar detecções baseadas em aprendizado de máquina e educar os usuários sobre como reconhecer sinais de ataques, já que técnicas tradicionais de filtragem estão se tornando ineficazes.

Uma nova plataforma de ransomware como serviço chamada Global Group está utilizando chatbots de inteligência artificial para automatizar as negociações de resgate com suas vítimas. Desde sua criação em junho de 2025, o grupo já comprometeu pelo menos 17 organizações em países como Estados Unidos, Reino Unido, Austrália e Brasil, exigindo pagamentos que podem chegar a US$ 1 milhão. Essa inovação permite que os cibercriminosos mantenham várias negociações simultaneamente, sem a necessidade de intervenção humana constante, aumentando a eficiência das operações de extorsão. O sistema de IA analisa arquivos criptografados para verificar compromissos e adapta o tom das mensagens de acordo com o perfil da vítima, intensificando a pressão psicológica. O Global Group tem como alvos preferenciais organizações de alto valor nos setores de saúde, automotivo e industrial, e seu painel de negociações na deep web permite que afiliados de diversas nacionalidades conduzam as negociações. Além disso, o modelo de negócio do grupo é agressivo, oferecendo 85% dos valores arrecadados com resgates para seus afiliados, atraindo operadores experientes. Apesar da sofisticação aparente, análises técnicas indicam que o Global Group é uma rebranding de grupos anteriores, mantendo vulnerabilidades conhecidas. Essa transformação no cibercrime representa um desafio significativo para profissionais de segurança digital, que agora enfrentam negociadores artificiais programados para maximizar a pressão e acelerar os pagamentos.

Apesar do avanço nas práticas de segurança em nuvem, muitas empresas ainda lutam contra o problema das permissões excessivas e acessos permanentes. O Relatório de Riscos de Segurança na Nuvem 2025 revela que 83% das organizações que utilizam a Amazon Web Services (AWS) já implementaram serviços de Provedores de Identidade (IdPs), um passo importante para centralizar o controle de acesso. Entretanto, a presença dos IdPs não garante segurança, pois permissões mal configuradas e acessos sem limites temporais ainda criam vulnerabilidades que podem ser exploradas por atacantes. A autenticação multifator (MFA), embora recomendada, frequentemente é vista como complexa pelos usuários, o que dificulta sua adoção. Além disso, permissões temporárias, que deveriam ser revogadas após o uso, muitas vezes permanecem ativas, aumentando a superfície de ataque desnecessariamente. Embora os principais provedores de nuvem ofereçam soluções robustas para gerenciamento de identidade e acesso, o verdadeiro desafio reside na cultura organizacional. É essencial promover uma mudança de mentalidade que implemente o princípio do menor privilégio, adote acessos just-in-time e realize auditorias regulares nas permissões. A segurança de identidade deve ser encarada como um processo contínuo, especialmente em um cenário onde os ataques se tornam cada vez mais sofisticados. Portanto, a gestão adequada da identidade não deve ser opcional, mas sim uma prioridade fundamental para as empresas.

A Dell emitiu um alerta sobre cinco vulnerabilidades de segurança classificadas como críticas, que afetam milhões de notebooks em mais de 100 modelos diferentes. As falhas estão relacionadas aos chips da série Broadcom BCM5820X, encontrados principalmente em PCs e notebooks empresariais da Dell, como as séries Latitude e Precision. As vulnerabilidades, identificadas como CVE-2025-24311, CVE-2025-25215, CVE-2025-24922, CVE-2025-25050 e CVE-2025-24919, comprometem a função ControlVault3, uma solução de segurança de hardware destinada ao armazenamento de dados sensíveis, como senhas e informações biométricas. De acordo com pesquisadores da Cisco Talos, um invasor com privilégios limitados poderia explorar essas falhas para roubar dados, executar códigos maliciosos remotamente e até implantar um backdoor no firmware do ControlVault, obtendo acesso à máquina afetada. A Dell afirmou que os problemas foram corrigidos em parceria com seu fornecedor de firmware e que um aviso de segurança foi publicado em 13 de junho. Até o momento, não há relatos de exploração ativa dessas vulnerabilidades. Para garantir a segurança, os usuários devem buscar as atualizações mais recentes no Dell Command Center ou acessar a página de suporte da Dell para obter mais informações sobre como proceder.

Um novo centro de dados proposto em Cheyenne, Wyoming, gerou preocupações significativas sobre o uso de energia e as demandas de infraestrutura. A instalação, uma parceria entre a empresa de energia Tallgrass e a desenvolvedora de centros de dados Crusoe, está prevista para iniciar com uma capacidade de 1,8 gigawatts, podendo escalar para impressionantes 10 gigawatts. Isso representa mais de cinco vezes a eletricidade consumida atualmente por todas as residências em Wyoming. Para suprir essa imensa demanda energética, os desenvolvedores planejam utilizar uma combinação de gás natural e fontes renováveis, construídas especificamente para atender ao centro. No entanto, permanece um mistério quem será o ocupante do centro de dados, com especulações focadas na OpenAI, que recentemente colaborou com a Crusoe em uma instalação no Texas, considerada a maior do mundo. Essa nova instalação no Texas consome cerca de um gigawatt de energia e faz parte da iniciativa ‘Stargate’ da OpenAI. Embora a presença da OpenAI em Wyoming não tenha sido confirmada, a demanda por hardware de alto desempenho em centros de dados voltados para IA é crescente. Especialistas da indústria esperam que a instalação abrigue processadores extremamente rápidos, projetados para aprendizado profundo e treinamento de modelos. A expectativa é que, mesmo com um modelo de energia autossuficiente, um centro de dados desse porte altere a dinâmica regional de energia, potencialmente elevando os custos de utilidades para os residentes locais e testando a identidade de Wyoming como um grande exportador de energia.

Levantamentos realizados por agências federais dos Estados Unidos resultaram no desmantelamento da operação de ransomware BlackSuit, que atacou mais de 450 organizações em todo o país. A ação, coordenada pela Investigação de Segurança Interna (HSI) em colaboração com parceiros internacionais, mirou o grupo sucessor do Royal ransomware, conhecido por suas táticas de dupla extorsão. Durante a operação, servidores, domínios e ativos digitais usados pelo grupo foram apreendidos, evidenciando uma cooperação internacional sem precedentes no combate a ameaças de ransomware. O BlackSuit utiliza métodos de dupla extorsão, criptografando sistemas críticos das vítimas e ameaçando divulgar dados roubados, o que aumenta significativamente a pressão sobre as organizações para o pagamento de resgates. Desde 2022, esses grupos comprometeram setores vitais, como saúde, educação e energia, causando perdas financeiras superiores a $370 milhões. A operação envolveu a colaboração de várias agências dos EUA e de países como Reino Unido, Alemanha e Canadá, demonstrando capacidades avançadas de aplicação da lei em operações cibernéticas. O caso está sendo processado pelo Escritório do Promotor dos EUA para o Distrito Oriental da Virgínia, com esforços contínuos para responsabilizar os envolvidos nas campanhas do Royal e BlackSuit, marcando um importante avanço na luta contra operações de ransomware que ameaçam a infraestrutura digital global.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou, em 7 de agosto de 2025, dez novos avisos sobre Sistemas de Controle Industrial (ICS), abordando vulnerabilidades críticas em diversos setores, incluindo manufatura, automação predial e infraestrutura de telecomunicações. Esses avisos destacam lacunas significativas na segurança de sistemas de tecnologia operacional que podem permitir acesso não autorizado a componentes críticos da infraestrutura.

As vulnerabilidades abrangem uma variedade de sistemas de controle industrial, com foco em fabricantes de destaque, como o sistema DIAView da Delta Electronics e os controladores de automação predial FX80 e FX90 da Johnson Controls. Também foram identificadas falhas em telefones IP da Yealink que podem possibilitar ataques de execução remota de código. Além disso, o software de simulação Arena da Rockwell Automation e dispositivos de monitoramento de energia da Packet Power apresentam riscos significativos.

Um pesquisador de cibersegurança revelou um novo método de bypass do Controle de Conta de Usuário (UAC) do Windows, explorando o Editor de Caracteres Privados do sistema. A técnica, publicada por Matan Bahar, da White-Hat, mostra como utilitários legítimos do Windows podem ser usados por invasores para obter privilégios elevados sem o consentimento do usuário. O exploit utiliza o eudcedit.exe, um programa localizado em C:\Windows\System32, que é destinado à criação e edição de caracteres definidos pelo usuário. O estudo revela que o eudcedit.exe pode ser manipulado para contornar mecanismos de segurança críticos. O ataque ocorre ao aproveitar a configuração do manifesto de aplicação do eudcedit.exe, que permite que o programa seja executado com direitos administrativos sem exibir a caixa de diálogo do UAC. Quando combinado com uma configuração permissiva do UAC, isso possibilita que atacantes que já tenham acesso inicial ao sistema escalem seus privilégios de forma discreta. Este método é particularmente preocupante porque explora uma ferramenta confiável do Windows, tornando-se um desafio para a segurança do sistema operacional. Profissionais de segurança devem estar cientes dessa técnica durante atividades de caça a ameaças e considerar a implementação de monitoramento adicional para padrões incomuns de execução do eudcedit.exe. As organizações também devem reavaliar suas políticas de configuração do UAC para reduzir a exposição a esses métodos de bypass.

A equipe de descoberta e pesquisa de vulnerabilidades da Cisco Talos anunciou a revelação de 12 falhas de segurança em três plataformas de software: WWBN AVideo, MedDream PACS Premium e Eclipse ThreadX FileX. Essas vulnerabilidades expõem riscos significativos em setores como streaming de vídeo, imagem médica e sistemas embarcados.

No WWBN AVideo, versão 14.4, foram identificadas sete vulnerabilidades, incluindo cinco falhas de execução de scripts entre sites (XSS) e duas que podem ser combinadas para execução remota de código. A primeira, CVE-2025-25214, trata de uma condição de corrida na funcionalidade de descompactação, enquanto a segunda, CVE-2025-48732, explora uma lista negra incompleta em configurações do .htaccess.

A Universidade Columbia divulgou um incidente significativo de cibersegurança que comprometeu informações pessoais de 868.969 indivíduos em todo o país, incluindo 2.026 residentes do estado do Maine. Essa violação de dados é considerada uma das maiores em instituições de ensino superior nos últimos anos. Segundo a notificação enviada através do escritório de advocacia Debevoise & Plimpton LLP, hackers obtiveram acesso não autorizado aos sistemas externos da universidade entre 16 de maio e 6 de junho de 2025, sendo que a instituição descobriu o incidente apenas em 8 de julho de 2025, quase dois meses após o término do período da violação. A universidade classificou o ocorrido como uma “violação de sistema externo (hacking)”, indicando que os cibercriminosos penetraram a infraestrutura de rede da Columbia. Os dados comprometidos incluíram nomes e outros identificadores pessoais, mas detalhes adicionais sobre informações sensíveis não foram totalmente divulgados. Para responder à violação, a equipe de cibersegurança da universidade tomou medidas imediatas, realizando uma investigação forense para determinar a extensão do comprometimento. Em parceria com a empresa Kroll, a universidade está oferecendo 24 meses de monitoramento de crédito e serviços de proteção contra roubo de identidade aos indivíduos afetados, superando os padrões típicos da indústria. Este incidente é o primeiro relatado pela universidade nos últimos 12 meses, sugerindo que se trata de um evento isolado em vez de um padrão de falhas de cibersegurança.

O grupo de ransomware SafePay anunciou ter realizado um ataque ao distrito escolar Ridgefield Public Schools, em Connecticut, estabelecendo um prazo de pouco mais de dois dias para o pagamento do resgate, ameaçando divulgar 90 GB de dados caso suas exigências não fossem atendidas. A escola confirmou que sofreu o ataque em 24 de julho de 2025, informando que suas ferramentas de cibersegurança detectaram tentativas de execução de um vírus de criptografia na rede de computadores. Após identificar essa atividade, a rede foi desconectada para investigar o incidente. Neste momento, a restauração dos sistemas está em andamento, e a escola espera que os professores possam acessar seus e-mails novamente esta semana. Embora RPS tenha confirmado a exigência de um resgate, não divulgou o valor pedido nem se o pagamento foi efetuado. O fato de SafePay ter listado o distrito escolar em seu site sugere que as negociações falharam. O SafePay, que começou a adicionar vítimas ao seu site de vazamento de dados em novembro de 2024, já registrou 278 ataques, sendo 35 confirmados. O ataque a Ridgefield é o sexto a uma instituição educacional realizada pelo grupo. Em 2025, foram registrados 26 ataques confirmados ao setor educacional dos EUA, refletindo um aumento nas ameaças às escolas, faculdades e universidades. O ataque à Ridgefield exemplifica como esses incidentes visam causar desordem, forçando as instituições a pagarem resgates para recuperar o acesso aos seus sistemas.

O grupo de ransomware PEAR reivindicou a responsabilidade por uma violação de dados ocorrida em junho de 2025 na Think Big Health Care Solutions, uma empresa de gestão de saúde da Flórida. A violação comprometeu uma vasta gama de informações pessoais, incluindo nomes, números de Seguro Social, números de identificação fiscal, endereços, dados bancários e informações médicas. A PEAR afirma ter roubado 60 GB de dados e publicou imagens que supostamente contêm documentos da Think Big para corroborar sua alegação. Em seu site de vazamento de dados, a gangue afirmou que a administração da Think Big se recusou a negociar, deixando os dados disponíveis publicamente. A Think Big ainda não confirmou a alegação da PEAR e não divulgou quantas pessoas foram notificadas sobre a violação nem o valor exigido como resgate. A empresa emitiu um aviso aos afetados, informando que uma investigação forense está em andamento após a descoberta de atividades suspeitas em uma conta de e-mail de funcionário. Para os afetados, a Think Big está oferecendo monitoramento de crédito e proteção contra roubo de identidade por meio da Haystack ID. A PEAR, que se apresenta como um novo grupo de ransomware, já fez outras 17 reivindicações de ataques em 2025, focando em extorquir dados sem criptografá-los, o que difere da maioria dos grupos de ransomware. Ataques desse tipo em empresas de saúde nos EUA podem causar interrupções significativas e riscos à saúde e segurança dos pacientes.

Em 30 de julho, Keonne Rodriguez e William Lonergan Hill, cofundadores da Samourai Wallet, um misturador de criptomoedas que facilitou mais de US$ 200 milhões em transações ilegais, se declararam culpados perante a juíza do Tribunal Distrital dos EUA, Denise L. Cote, em Nova York. Rodriguez, CEO da Samourai, e Hill, CTO, admitiram sua participação em uma conspiração para operar um negócio de transmissão de dinheiro que envolvia, entre outras atividades, mercados ilegais na dark web e esquemas de phishing. Desde 2015, os dois desenvolveram o aplicativo móvel Samourai, projetado para transmitir lucros provenientes de crimes. O serviço incluía duas funcionalidades principais: o ‘Whirlpool’, um serviço de mistura de Bitcoin que obscurecia a origem dos fundos, e o ‘Ricochet’, que introduzia transações intermediárias para dificultar o rastreamento. Desde o lançamento do Ricochet em 2017 e do Whirlpool em 2019, mais de 80.000 Bitcoins, avaliados em mais de US$ 2 bilhões, passaram por esses serviços. Ambos os fundadores promoviam ativamente a utilidade da Samourai para esconder lucros ilícitos, reconhecendo que seus clientes incluíam participantes de mercados ilegais. Rodriguez, de 36 anos, e Hill, de 67, cada um se declarou culpado de um único crime de conspiração, que pode resultar em até cinco anos de prisão, além de concordarem em devolver US$ 237.832.360,55 ao governo dos EUA.

KLM e Air France confirmaram uma violação de dados que envolveu acesso não autorizado a informações de clientes em uma plataforma externa de atendimento. Importante ressaltar que o incidente não afetou os sistemas internos das companhias aéreas, e não houve comprometimento de informações sensíveis, como senhas, detalhes de viagem, números de passaporte, milhas do programa Flying Blue ou dados de cartões de crédito. A violação está relacionada a uma onda mais ampla de ataques similares que têm afetado diversas empresas. Medidas de segurança imediatas foram implementadas para interromper o acesso não autorizado e prevenir futuros incidentes. As companhias notificaram as autoridades nacionais de proteção de dados de seus respectivos países: a Autoridade de Proteção de Dados da Holanda (AP) e a Comissão Nacional de Informática e Liberdades da França (CNIL). Este ataque faz parte de uma série de incidentes relacionados ao Salesforce, perpetrados pelo grupo ShinyHunters. Em um contexto mais amplo, outras empresas também foram alvo de ataques recentes, incluindo uma violação de dados que expôs informações de 6,4 milhões de clientes da Bouygues Telecom e uma série de outros incidentes cibernéticos que estão gerando preocupações sobre a segurança de dados em várias indústrias.

Na manhã de ontem, o grupo cibercriminoso ShinyHunters enviou uma mensagem provocativa no Telegram, afirmando que nem mesmo a NSA consegue detê-los ou identificá-los. O membro do grupo, conhecido como ‘Shiny1’, revelou que a NSA está analisando gravações de chamadas de voz de empresas afetadas, mas acredita que a análise será infrutífera devido ao uso de vozes geradas por inteligência artificial. ShinyHunters, que recentemente atacou marcas de luxo como Dior e Tiffany, expressou ira não apenas contra a aplicação da lei, mas também contra a LVMH, afirmando que a pressão dessa empresa influenciou ações de força-tarefa na França. Shiny declarou que a estratégia do grupo é focar em países como EUA, Reino Unido, Austrália, Canadá e França, enquanto evita atacar nações como Rússia e China. Durante a conversa, ele também mencionou que metade dos membros do grupo está localizada em países como EUA, Reino Unido e Austrália, o que justifica os ataques a grandes empresas australianas, como a Qantas. ShinyHunters enviou um e-mail à Qantas desafiando a empresa a não cumprir ordens judiciais, afirmando que não têm obrigação de obedecer a regulamentações fora de sua jurisdição. Além disso, o grupo também enviou um aviso à Polícia Federal Australiana sobre futuros ataques, destacando a ‘ignorância e arrogância’ no cenário de segurança cibernética do país. O grupo demonstrou confiança na continuidade de seus ataques, afirmando que as empresas afetadas não têm ideia do que está por vir.

A Pakistan Petroleum Limited (PPL), empresa de exploração de petróleo e gás, confirmou ter enfrentado um ataque de ransomware que afetou partes de sua infraestrutura de TI. O incidente foi detectado em 6 de agosto de 2025, mas, segundo a empresa, foi rapidamente contido, sem comprometimento de sistemas críticos ou dados sensíveis. Em um comunicado enviado à Bolsa de Valores do Paquistão (PSX), a PPL informou que ativou imediatamente seus protocolos internos de cibersegurança após identificar a intrusão. Até o momento, nenhum grupo de ransomware assumiu a responsabilidade pelo ataque. Este incidente ocorre em um contexto mais amplo de ataques cibernéticos, com outras empresas e setores também lidando com violações de dados. Por exemplo, recentemente, a Air France e a KLM alertaram seus clientes sobre uma violação de dados em uma plataforma externa, enquanto a Bouygues Telecom enfrentou uma exposição significativa de dados, marcando o segundo grande incidente envolvendo operadoras de telecomunicações francesas em um mês. Além disso, o estado de Ohio implementou uma lei exigindo que governos locais aprovem formalmente pagamentos de resgates relacionados a ataques cibernéticos. Esses eventos ressaltam a crescente preocupação com a segurança cibernética em todo o mundo e a necessidade de medidas preventivas mais robustas para proteger informações críticas.

Na última sexta-feira, autoridades do Condado de Spartanburg relataram que o local enfrentou um incidente de cibersegurança no início da semana. Scottie Kay Blackwell, gerente de comunicações do condado, confirmou que um ataque cibernético acionou imediatamente uma resposta das plataformas de software de rede, do fornecedor de cibersegurança e das autoridades policiais. Segundo Blackwell, o ataque foi contido pelas plataformas de software e pela equipe do condado. Como medida de precaução, algumas conexões e serviços eletrônicos foram desativados, enquanto funcionários e profissionais de segurança continuam a trabalhar na restauração dos sistemas e no restabelecimento do acesso público. Este não é o primeiro ataque cibernético enfrentado pelo condado; anteriormente, o local já havia sofrido ataques de ransomware em 2018 e 2023. A situação destaca a crescente preocupação com a segurança cibernética em órgãos públicos e a necessidade de investimentos em tecnologia e formação para prevenir futuros incidentes. A população deve estar atenta e informada sobre as medidas adotadas para garantir a proteção de dados e serviços essenciais.

Um novo conjunto de 60 pacotes maliciosos foi descoberto atacando o ecossistema RubyGems, disfarçando-se como ferramentas de automação para redes sociais e serviços de mensagens, com o objetivo de roubar credenciais de usuários desavisados e possivelmente revendê-las em fóruns da dark web. A atividade está ativa desde pelo menos março de 2023, com mais de 275.000 downloads registrados. Os pacotes foram publicados por um ator de ameaças que usa os pseudônimos zon, nowon, kwonsoonje e soonje, e visam plataformas como Instagram, Twitter/X, TikTok e WordPress. Embora os pacotes ofereçam funcionalidades legítimas, como postagem em massa, também possuem um recurso oculto que exfiltra nomes de usuário e senhas para servidores controlados pelos atacantes. Entre os alvos estão profissionais de marketing que utilizam esses pacotes para campanhas de spam e otimização de mecanismos de busca (SEO). Além disso, a GitLab detectou pacotes de typosquatting no Python Package Index (PyPI), que visam roubar criptomoedas de carteiras Bittensor, ocultando código malicioso em funções de estaca aparentemente legítimas. O PyPI anunciou novas restrições para proteger instaladores de pacotes Python contra ataques de confusão, prometendo rejeitar pacotes que não coincidam com os metadados incluídos após um período de advertências. Essas descobertas ressaltam a necessidade de vigilância contínua na segurança da cadeia de suprimentos de software.

Nos últimos anos, a segurança das credenciais tem se tornado uma preocupação crescente para organizações em todo o mundo. Um relatório da Verizon de 2025 revelou que 22% das violações de dados em 2024 foram causadas por credenciais vazadas, superando técnicas de phishing e exploração de software. Em 2025, a Cyberint, uma empresa de gestão de riscos, registrou um aumento de 160% nas credenciais vazadas em comparação ao ano anterior. Este cenário é agravado pela facilidade de roubo de credenciais, com malwares como infostealers permitindo que atacantes de baixa qualificação coletem dados de login de forma automatizada. As credenciais vazadas não só são utilizadas para invasões diretas de contas, mas também podem resultar em fraudes financeiras, campanhas de spam e extorsão. A Cyberint utiliza sistemas automatizados para monitorar uma ampla variedade de fontes e detectar essas exposições em larga escala, correlacionando padrões de domínio e reutilização de senhas. A falta de monitoramento em dispositivos pessoais de funcionários representa um desafio adicional, pois 46% das credenciais vazadas estavam associadas a dispositivos desprotegidos. Apesar de políticas de senhas e autenticação de múltiplos fatores, o roubo de credenciais continua sendo uma probabilidade real. Portanto, a capacidade de detectar e remediar rapidamente exposições é crucial para a defesa cibernética das organizações. O relatório completo oferece insights sobre como as empresas podem operacionalizar essa inteligência para proteger suas credenciais e reduzir riscos.

Pesquisadores de cibersegurança estão alertando sobre uma nova campanha que utiliza ferramentas legítimas de construção de sites com inteligência artificial generativa, como DeepSite AI e BlackBox AI, para criar páginas de phishing que imitam agências governamentais brasileiras. Essas páginas falsas visam enganar usuários desavisados a realizarem pagamentos indevidos através do sistema de pagamento PIX, conforme reportado pela Zscaler ThreatLabz. Os sites fraudulentos imitam o Departamento de Trânsito e o Ministério da Educação, coletando informações pessoais sensíveis, como CPF e endereços residenciais, sob o pretexto de realizar exames psicométricos ou garantir uma oferta de emprego. Para aumentar a legitimidade, as páginas de phishing coletam dados de forma progressiva, imitando o comportamento de sites autênticos. Análises do código fonte revelaram características de ferramentas de IA, como comentários excessivamente explicativos e elementos não funcionais. Além disso, a campanha de phishing valida os CPFs por meio de uma API controlada pelos atacantes. Em outra frente, o Brasil enfrenta uma campanha de malspam que distribui o trojan Efimer, disfarçado como comunicações de advogados, para roubar criptomoedas. O malware propaga-se por sites WordPress comprometidos e e-mails falsos, utilizando técnicas variadas para coletar informações e infectar dispositivos. Com cerca de 5.015 usuários afetados, a maioria das infecções está concentrada no Brasil e em outros países. Os pesquisadores alertam que, embora os ataques atuais estejam gerando quantias relativamente pequenas, eles podem resultar em danos mais significativos no futuro.

Pesquisadores de cibersegurança identificaram mais de uma dúzia de vulnerabilidades em cofres de segurança empresarial da CyberArk e HashiCorp, que, se exploradas, podem permitir que atacantes remotos acessem sistemas de identidade corporativa e extraiam segredos e tokens. As 14 falhas, nomeadas coletivamente de Vault Fault, afetam o CyberArk Secrets Manager, Self-Hosted e Conjur Open Source, bem como o HashiCorp Vault. As falhas foram corrigidas em versões recentes, incluindo CyberArk Secrets Manager 13.5.1 e 13.6.1 e HashiCorp Vault Community Edition 1.20.2. As vulnerabilidades incluem bypass de autenticação, escalonamento de privilégios, execução remota de código e roubo de tokens de root. A mais crítica permite a execução remota de código, onde atacantes podem assumir o controle do cofre sem credenciais válidas. Além disso, falhas na lógica de proteção contra bloqueio do HashiCorp Vault podem permitir que atacantes determinem quais nomes de usuário são válidos e até redefinam contadores de bloqueio. As vulnerabilidades também expõem a possibilidade de contornar a autenticação multifator (MFA). O ataque pode ser realizado através de uma cadeia de exploração que combina várias falhas, permitindo acesso não autenticado e execução de comandos arbitrários. Em um cenário relacionado, a Cisco Talos destacou falhas no firmware ControlVault3 da Dell, que poderiam ser exploradas para contornar login do Windows e extrair chaves criptográficas. As vulnerabilidades encontradas criam um método de persistência remoto para acesso encoberto em ambientes de alto valor. Para mitigar esses riscos, os usuários devem aplicar as correções fornecidas e desabilitar serviços ControlVault quando não estiverem em uso.

O uso de VPNs para acessar transmissões de eventos esportivos, como a luta entre Moses Itauma e Dillian Whyte, levanta preocupações significativas sobre segurança e privacidade. Embora VPNs possam ser ferramentas eficazes para contornar bloqueios regionais e garantir acesso a conteúdos restritos, é crucial escolher provedores confiáveis para evitar riscos de segurança cibernética. VPNs gratuitas, em particular, podem não oferecer a proteção necessária, expondo usuários a vulnerabilidades e possíveis interceptações de dados.Especialistas em cibersegurança alertam que VPNs de baixa qualidade podem comprometer a experiência de streaming ao introduzir problemas de buffering e falhas de conexão, além de potencialmente expor informações pessoais dos usuários. Para garantir uma navegação segura e sem interrupções, recomenda-se optar por serviços VPN pagos e bem avaliados, que oferecem criptografia robusta e servidores otimizados para streaming, como NordVPN e Surfshark. A escolha de um VPN adequado é essencial para proteger dados pessoais e garantir uma experiência de visualização segura e de alta qualidade.

Pesquisadores de cibersegurança estão soando o alarme sobre uma campanha de phishing que utiliza ferramentas de inteligência artificial generativa para criar páginas falsas que imitam agências do governo brasileiro. Essas páginas enganosas, que se passam por sites do Departamento Estadual de Trânsito e do Ministério da Educação, visam coletar informações pessoais sensíveis e induzir usuários a realizar pagamentos indevidos através do sistema PIX. A campanha é impulsionada por técnicas de envenenamento de SEO, aumentando a visibilidade dos sites fraudulentos e, consequentemente, o risco de sucesso dos ataques.

A Pakistan Petroleum Limited (PPL), uma empresa de exploração de petróleo e gás, foi alvo de um ataque de ransomware em partes de sua infraestrutura de TI, detectado em 6 de agosto de 2025. Apesar da seriedade da ameaça, a empresa conseguiu conter rapidamente o incidente, garantindo que nenhum sistema crítico ou dados sensíveis fossem comprometidos. Este evento ressalta a importância de protocolos de cibersegurança robustos e a necessidade de vigilância constante contra ameaças sofisticadas de ransomware, que continuam a evoluir e a representar riscos significativos para organizações em todo o mundo.

A Universidade de Columbia confirmou um vazamento de dados significativo que comprometeu informações pessoais de 868.969 indivíduos em todo o país, incluindo 2.026 residentes do Maine. Este incidente, classificado como uma violação de sistema externo, ocorreu entre 16 de maio e 6 de junho de 2025, mas só foi descoberto em 8 de julho de 2025. A violação representa um dos maiores vazamentos de dados no setor de educação superior nos últimos anos, destacando a crescente ameaça de cibercriminosos que exploram vulnerabilidades em infraestruturas de rede de instituições renomadas.Em resposta ao incidente, a Universidade de Columbia tomou medidas rápidas para conter a violação e iniciou uma investigação forense abrangente para entender o escopo completo do comprometimento. Além disso, a universidade está oferecendo 24 meses de monitoramento de crédito e serviços de proteção contra roubo de identidade para todos os indivíduos afetados, em parceria com a Kroll, LLC. Este pacote de proteção excede os padrões típicos da indústria, que geralmente oferecem períodos de proteção de 12 meses, sublinhando a gravidade do vazamento e o compromisso da universidade em mitigar os riscos para os afetados.

Uma nova técnica de bypass do Controle de Conta de Usuário (UAC) no Windows foi revelada, utilizando o Editor de Caracteres Privados para permitir que atacantes obtenham privilégios elevados sem o consentimento do usuário. Esta vulnerabilidade, divulgada pelo pesquisador de segurança Matan Bahar, explora a configuração de manifesto do aplicativo eudcedit.exe, um utilitário legítimo do Windows, para contornar mecanismos de segurança críticos. A técnica é alarmante, pois utiliza um programa confiável que normalmente não levantaria suspeitas, permitindo que invasores que já tenham acesso inicial escalem seus privilégios de forma discreta e eficaz.

A Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu, em 7 de agosto de 2025, dez novos avisos sobre vulnerabilidades em Sistemas de Controle Industrial (ICS), destacando lacunas significativas de segurança em setores como manufatura, automação predial e infraestrutura de telecomunicações. Estas vulnerabilidades representam um risco urgente, pois podem permitir acesso não autorizado a componentes críticos de infraestrutura, comprometendo a segurança e a operação de sistemas essenciais. Entre os sistemas afetados estão o DIAView da Delta Electronics, os controladores FX80 e FX90 da Johnson Controls, e os telefones IP da Yealink, todos suscetíveis a ataques de execução remota de código e negação de serviço.Os avisos também incluem atualizações para vulnerabilidades previamente identificadas, como nos sistemas de monitoramento Instantel Micromate e nas soluções digitais da Mitsubishi Electric, indicando preocupações de segurança contínuas. A presença de dispositivos orientados ao consumidor, como aplicativos móveis da Dreame Technology, ressalta a crescente superfície de ataque em ambientes industriais. Especialistas enfatizam a necessidade de medidas preventivas urgentes para mitigar esses riscos e proteger infraestruturas críticas de possíveis explorações maliciosas.