Cibersegurança

Nos últimos tempos, a popularidade dos QR Codes cresceu, especialmente em locais públicos, onde muitos usuários os escaneiam em busca de conteúdos divertidos. No entanto, essa prática pode ser extremamente arriscada. Cibercriminosos estão utilizando QR Codes falsos para aplicar golpes, como phishing, que visam roubar dados pessoais e financeiros. Um exemplo comum é o uso de QR Codes que prometem ‘Wi-Fi Grátis’, mas que redirecionam os usuários para sites fraudulentos que imitam páginas legítimas, capturando informações sensíveis. Além disso, os golpistas podem induzir vítimas a realizar transferências financeiras erradas por meio de códigos falsos, como no caso do golpe do Pix. Outro risco é a instalação de malwares, que podem comprometer dispositivos móveis ao baixar arquivos maliciosos. Os QR Codes também podem conectar usuários a redes Wi-Fi maliciosas, permitindo que criminosos monitorem o tráfego de dados. Por fim, mesmo que menos grave, o direcionamento para conteúdos impróprios pode causar constrangimento. Portanto, é fundamental ter cautela ao escanear QR Codes desconhecidos, especialmente em ambientes públicos.

O Brasil se tornou signatário da Convenção das Nações Unidas Contra o Crime Cibernético, um tratado que visa fortalecer a cooperação internacional no combate a crimes digitais. A assinatura foi realizada pelo diretor-geral da Polícia Federal, Andrei Rodrigues, durante uma visita ao Vietnã, onde acompanhava o presidente Luiz Inácio Lula da Silva. O tratado, que já conta com a adesão de 59 países, busca não apenas combater o aumento dos crimes cibernéticos, mas também garantir a proteção dos direitos humanos no ambiente digital. A Polícia Federal destacou que a convenção facilitará a troca de provas eletrônicas, essencial para o enfrentamento de crimes como a sextorsão e o abuso sexual infantil online. O secretário-geral da ONU, António Guterres, considerou a assinatura um marco histórico na luta contra as crescentes ameaças digitais. Entretanto, os Estados Unidos optaram por não assinar o acordo, citando a necessidade de medidas adicionais para garantir a proteção legal e os direitos humanos dos signatários. A próxima etapa para o Brasil envolve a aprovação do Congresso Nacional, que poderá formalizar as obrigações jurídicas do país em relação ao tratado.

O crescimento explosivo de aplicativos móveis impulsionados por IA criou um ambiente propício para cibercriminosos que exploram a confiança nas marcas. Pesquisadores da Appknox identificaram um aumento preocupante de clones falsos do ChatGPT, DALL·E e WhatsApp em lojas de aplicativos alternativas, que utilizam marcas conhecidas para enganar usuários e comprometer dispositivos empresariais. Em 2024, aplicativos relacionados à IA representaram 13% de todos os downloads globais, totalizando 17 bilhões, tornando-se alvos atraentes para ataques. As ameaças variam de adware oportunista a infraestruturas de spyware. Um exemplo alarmante é o WhatsApp Plus, que se disfarça como uma versão aprimorada do mensageiro, mas contém malware que solicita permissões extensivas, permitindo que atacantes interceptem códigos de autenticação e acessem contatos. A análise de tráfego de rede revelou técnicas de mascaramento de tráfego malicioso. Para ambientes corporativos, as implicações são catastróficas, com riscos de violação de normas como GDPR e HIPAA, podendo resultar em multas milionárias. Os pesquisadores ressaltam que os mecanismos tradicionais de verificação de aplicativos falham em prevenir ameaças pós-lançamento, destacando a necessidade de monitoramento contínuo e educação dos usuários sobre downloads seguros.

O relatório da FortiGuard sobre a primeira metade de 2025 revela que ataques cibernéticos motivados financeiramente dominaram os padrões de incidentes, destacando o uso abusivo de credenciais legítimas e ferramentas de gerenciamento remoto. Os atacantes estão optando por métodos de intrusão discretos e de baixa complexidade, utilizando logins válidos e canais de acesso remoto para se misturar às operações normais das empresas. O relatório também aponta que, embora ataques cibernéticos habilitados por IA chamem atenção, há pouca evidência de seu uso operacional eficaz. As violações baseadas em credenciais e o uso indevido de acesso remoto continuam sendo os principais vetores de acesso inicial. As técnicas de acesso inicial mais comuns incluem credenciais comprometidas e exploração de serviços VPN expostos. Após a intrusão, os atacantes utilizam ferramentas legítimas como AnyDesk e Splashtop para manter a persistência e exfiltrar dados. A Fortinet recomenda que as defesas se concentrem em detecções baseadas em identidade e comportamento, além de implementar controles de segurança como autenticação multifator (MFA) e políticas de acesso condicional. O alerta é claro: os atacantes não precisam mais hackear para entrar, eles simplesmente fazem login.

O Berkeley Research Group (BRG) notificou 6.083 indivíduos sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu informações sensíveis, incluindo números de Seguro Social, dados financeiros, informações médicas e identificações emitidas pelo governo. A violação foi resultado de um ataque de ransomware perpetrado pelo grupo Chaos, que exigiu um resgate não divulgado. O ataque ocorreu entre 28 de fevereiro e 2 de março de 2025, quando um ator não autorizado acessou brevemente os sistemas da BRG. O Departamento de Justiça dos EUA confirmou que a violação afetou sobreviventes de abusos sexuais por clérigos católicos. Para mitigar os danos, a BRG está oferecendo 24 meses de monitoramento de identidade gratuito através da Kroll. O grupo Chaos, ativo desde 2021, utiliza táticas de download automático e phishing, aplicando um esquema de dupla extorsão, onde exige pagamento tanto para destruir dados roubados quanto para restaurar sistemas infectados. Até agora, foram registrados 400 ataques de ransomware nos EUA em 2025, comprometendo 15,3 milhões de registros.

Os Provedores de Serviços Gerenciados (MSPs) enfrentam um aumento nas expectativas dos clientes por resultados robustos em cibersegurança e conformidade, enquanto as ameaças se tornam mais complexas e as exigências regulatórias evoluem. Os clientes buscam proteção abrangente sem a necessidade de gerenciar a segurança por conta própria, o que representa uma oportunidade significativa de crescimento para os MSPs. Para se destacar no mercado competitivo, é crucial que os MSPs adotem uma mentalidade de segurança que vá além da execução técnica, integrando a gestão de riscos e a resiliência como componentes essenciais da estratégia de negócios dos clientes. O guia “Transformando a Segurança em Crescimento” oferece um checklist estruturado para avaliar a prontidão estratégica e operacional dos MSPs. A mudança de uma abordagem de conformidade pontual para uma gestão de riscos contínua é fundamental, assim como a capacidade de conectar as iniciativas de segurança aos resultados de negócios. O guia também aborda a definição de serviços, a alocação de pessoal e a documentação de processos, ajudando os MSPs a escalar seus serviços de segurança de forma eficaz e lucrativa.

Pesquisadores da Palo Alto Networks, através da unidade Unit 42, identificaram um novo malware chamado Airstalk, supostamente associado a um ator de ameaça apoiado por um Estado, que utiliza a API do AirWatch para gerenciamento de dispositivos móveis (MDM) para estabelecer um canal de comando e controle (C2) encoberto. O Airstalk aparece em variantes PowerShell e .NET, sendo a versão .NET mais avançada, capaz de capturar capturas de tela, cookies, histórico de navegação e favoritos de navegadores. O malware se comunica com o servidor C2 através de um protocolo multi-threaded e utiliza um certificado possivelmente roubado para assinar alguns de seus componentes. A pesquisa sugere que o malware pode estar visando o setor de terceirização de processos de negócios (BPO), um alvo lucrativo para atacantes, tanto criminosos quanto apoiados por Estados. A utilização de APIs relacionadas ao MDM para C2 e o foco em navegadores empresariais como o Island indicam uma potencial exploração de cadeia de suprimentos, o que pode ter implicações significativas para a segurança das organizações que dependem desses serviços.

A OpenAI anunciou o lançamento do Aardvark, um pesquisador de segurança autônomo alimentado pelo modelo de linguagem GPT-5. Este agente de inteligência artificial foi projetado para ajudar desenvolvedores e equipes de segurança a identificar e corrigir vulnerabilidades em código de forma escalável. Atualmente em beta privada, o Aardvark analisa repositórios de código-fonte continuamente, identificando vulnerabilidades, avaliando sua explorabilidade e propondo correções. O modelo GPT-5, introduzido em agosto de 2025, oferece capacidades de raciocínio mais profundas e um ‘roteador em tempo real’ para otimizar a interação com os usuários.

O governo canadense emitiu um alerta de segurança sobre ataques realizados por hacktivistas a Sistemas de Controle Industrial (ICS), que incluem infraestruturas críticas como abastecimento de água, petróleo e agricultura. O relatório do Centro Cibernético e da Real Polícia Montada do Canadá menciona incidentes em que atacantes manipularam válvulas de pressão em uma instalação de água, causando degradação no serviço. Além disso, um sistema de medição de tanques de uma empresa de petróleo e gás foi comprometido, gerando alarmes falsos, e um silo de secagem de grãos teve seus níveis de temperatura e umidade alterados, o que poderia ter gerado condições inseguras. O governo canadense destaca que as vulnerabilidades nos ICS decorrem de uma divisão de responsabilidades pouco clara e da falta de proteção adequada dos ativos. Para mitigar esses riscos, recomenda-se a implementação de redes privadas virtuais (VPNs), autenticação em dois fatores (2FA) e sistemas de detecção de ameaças. A comunicação eficaz e a colaboração entre as empresas que operam ICS também são essenciais para proteger esses sistemas críticos.

Uma campanha sofisticada atribuída ao grupo de ameaças patrocinado pelo Estado chinês, conhecido como BRONZE BUTLER, está explorando uma vulnerabilidade crítica zero-day no Motex LANSCOPE Endpoint Manager para comprometer organizações japonesas e roubar informações sensíveis. A falha, identificada como CVE-2025-61932, possui um escore CVSS 3.0 de 9.8, permitindo que atacantes remotos executem código arbitrário com privilégios de sistema. A vulnerabilidade afeta versões 9.4.7.1 e anteriores do LANSCOPE Endpoint Manager, visando especificamente os componentes do programa cliente e do agente de detecção. As tentativas de exploração começaram em abril de 2025, com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionando a CVE-2025-61932 ao seu catálogo de vulnerabilidades conhecidas exploradas em 22 de outubro de 2025. Os pesquisadores identificaram que o grupo BRONZE BUTLER utilizou um malware sofisticado chamado Gokcpdoor como infraestrutura de comando e controle, além de técnicas de exfiltração de dados que incluíam ferramentas legítimas e serviços de armazenamento em nuvem. Organizações que utilizam o LANSCOPE devem revisar imediatamente a justificativa para a exposição pública e aplicar atualizações de segurança disponíveis.

Em resposta à crescente ameaça de golpes móveis, a Google anunciou melhorias significativas na proteção do Android, utilizando inteligência artificial para combater fraudes. Em um relatório divulgado em 30 de outubro de 2025, a empresa destacou que suas defesas baseadas em IA superam as de outras plataformas, com um impacto positivo na segurança dos usuários. No último ano, os golpes móveis geraram perdas superiores a 400 bilhões de dólares globalmente. O sistema do Android processa mensalmente mais de 10 bilhões de chamadas e mensagens suspeitas, bloqueando mais de 100 milhões de números fraudulentos recentemente. A pesquisa realizada pela YouGov, envolvendo 5.000 usuários nos EUA, Índia e Brasil, revelou que usuários do Android, especialmente os do Google Pixel, relataram menos mensagens de golpe em comparação aos usuários do iOS. Além disso, a análise de segurança da Leviathan Security Group confirmou que o Pixel 10 Pro oferece a melhor proteção contra fraudes. As funcionalidades incluem filtragem automática de spam e detecção de padrões de conversação fraudulentos, garantindo a privacidade dos usuários. Com atualizações contínuas através do Google Play Protect, o Android se mantém à frente das ameaças móveis em constante evolução.

Um grupo de ciberespionagem conhecido como Tick, também chamado de Bronze Butler, tem explorado uma vulnerabilidade crítica no Motex Lanscope Endpoint Manager, identificada como CVE-2025-61932, com uma pontuação CVSS de 9.3. Essa falha permite que atacantes remotos executem comandos arbitrários com privilégios de sistema em versões locais do software. O JPCERT/CC confirmou que a vulnerabilidade está sendo ativamente utilizada para instalar um backdoor em sistemas comprometidos. A campanha sofisticada, observada pela Sophos, utiliza um backdoor chamado Gokcpdoor, que estabelece uma conexão proxy com um servidor remoto e permite a execução de comandos maliciosos. Além disso, o ataque envolve o uso do framework Havoc para pós-exploração e ferramentas como goddi e Remote Desktop para movimentação lateral e exfiltração de dados. O Tick já havia sido observado explorando falhas zero-day em campanhas anteriores, como em 2017, quando comprometeu o SKYSEA Client View. A Sophos recomenda que as organizações atualizem seus servidores Lanscope vulneráveis e revisem a necessidade de expô-los publicamente na internet.

O grupo de ameaças conhecido como UNC6384, associado à China, está vinculado a uma nova onda de ataques que exploram uma vulnerabilidade não corrigida em atalhos do Windows, visando entidades diplomáticas e governamentais na Europa entre setembro e outubro de 2025. Os ataques foram direcionados a organizações diplomáticas na Hungria, Bélgica, Itália e Países Baixos, além de agências governamentais na Sérvia. A cadeia de ataque começa com e-mails de spear-phishing que contêm URLs maliciosas, levando à entrega de arquivos LNK que exploram a vulnerabilidade ZDI-CAN-25373, identificada como CVE-2025-9491. Esses arquivos são projetados para desencadear uma sequência de ataques que culminam na implantação do malware PlugX, um trojan de acesso remoto. O PlugX é conhecido por suas capacidades de acesso remoto, incluindo execução de comandos, registro de teclas e upload/download de arquivos. A evolução do malware foi observada, com a redução do tamanho dos artefatos de 700 KB para 4 KB, indicando um desenvolvimento ativo. A campanha se alinha com os interesses estratégicos da China em relação à coesão das alianças europeias e iniciativas de defesa.

Em setembro de 2025, um incidente de segurança sem precedentes resultou no vazamento de mais de 500 gigabytes de dados internos de empresas que operam a infraestrutura do Grande Firewall (GFW) da China. O vazamento revelou uma visão abrangente da arquitetura de censura do país, incluindo manuais técnicos, logs operacionais e comunicações internas. Acredita-se que o ataque tenha sido realizado por um insider privilegiado ou um adversário externo altamente coordenado, resultando em um arquivo que se aproxima de 600GB e contém mais de 100.000 arquivos únicos.

Pesquisadores de segurança descobriram uma sofisticada campanha de phishing multilíngue que visa organizações governamentais e financeiras na Ásia Oriental e Sudeste Asiático. A campanha utiliza arquivos ZIP como iscas, entregues por meio de páginas de phishing em três idiomas: chinês, inglês e japonês. A análise técnica revelou 28 páginas de phishing interconectadas, todas com scripts de backend idênticos, operando a partir de uma infraestrutura automatizada centralizada. Os atacantes, originários de Taiwan e China continental, expandiram suas operações para o Japão, Indonésia, Malásia, Tailândia e Camboja, indicando um alvo coordenado em múltiplas jurisdições. Os arquivos ZIP têm nomes enganosos adaptados a cada região, como “Lista de Faturas Fiscais” em chinês e “Documentos de Declaração de Impostos” em inglês. A campanha representa uma evolução nas táticas de ataque, passando de ondas de phishing localizadas para uma abordagem regionalizada, capaz de atingir simultaneamente públicos multilíngues. Especialistas recomendam que organizações bloqueiem domínios maliciosos e implementem detecções em gateways de e-mail para arquivos ZIP com temas financeiros ou governamentais.

Pesquisadores de segurança revelaram uma nova técnica de ataque chamada “camuflagem consciente do agente”, que explora como ferramentas de busca baseadas em IA, como o ChatGPT e o navegador Atlas da OpenAI, recuperam conteúdo da web. Essa vulnerabilidade permite que atacantes sirvam versões diferentes de páginas da web para crawlers de IA, enquanto usuários humanos veem conteúdo legítimo. A técnica, que se destaca pela sua simplicidade, utiliza regras condicionais que detectam cabeçalhos de agentes de usuário de IA. Em experimentos controlados, foi demonstrado que, ao acessar um site, crawlers de IA recebiam informações fabricadas, enquanto visitantes humanos viam a versão verdadeira. Isso levanta preocupações sobre a falta de validação de proveniência nos sistemas de recuperação de informações de IA, que tratam o conteúdo como verdade absoluta. As implicações vão além de ataques à reputação, afetando também processos de contratação automatizados. Para mitigar esses riscos, recomenda-se a implementação de defesas em múltiplas camadas, incluindo a verificação criptográfica da autenticidade das informações e protocolos de validação para crawlers. A pesquisa destaca a necessidade urgente de monitoramento contínuo e validação de saídas geradas por IA, especialmente em decisões críticas como contratações e conformidade.

A Eclipse Foundation, responsável pelo projeto Open VSX, anunciou a revogação de alguns tokens que foram acidentalmente expostos em extensões do Visual Studio Code (VS Code) publicadas no marketplace. Essa medida foi tomada após um relatório da empresa de segurança em nuvem Wiz, que identificou que várias extensões, tanto do marketplace da Microsoft quanto do Open VSX, expuseram seus tokens de acesso em repositórios públicos. Mikaël Barbero, chefe de segurança da Eclipse Foundation, afirmou que as exposições foram causadas por erros dos desenvolvedores e não por uma violação da infraestrutura do Open VSX. Para mitigar riscos futuros, a Open VSX implementou um novo formato de prefixo para tokens e está reduzindo os limites de tempo de vida dos tokens por padrão. Além disso, a fundação está automatizando a verificação de extensões no momento da publicação para detectar padrões de código malicioso. O incidente destaca a importância da segurança da cadeia de suprimentos, que é uma responsabilidade compartilhada entre desenvolvedores e mantenedores de registros. O número de downloads reportados de 35.800 pode estar inflacionado devido a bots, segundo Barbero.

Um novo recurso da ThreatLocker, chamado Defense Against Configurations (DAC), foi lançado para macOS, visando identificar e corrigir configurações inseguras que podem ser exploradas por atacantes. O DAC realiza varreduras frequentes nos dispositivos, detectando falhas como a falta de criptografia em discos, configurações inadequadas de firewall e permissões excessivas de compartilhamento. Essas vulnerabilidades são comuns em ambientes de trabalho que utilizam Macs, especialmente em setores criativos como design e produção de mídia. O DAC fornece um painel de controle unificado, permitindo que administradores visualizem e remedeiem problemas de segurança de forma eficiente, alinhando-se a frameworks de segurança reconhecidos como CIS e NIST. A funcionalidade é especialmente relevante para organizações que utilizam Macs, pois oferece uma camada adicional de visibilidade e controle sobre a segurança dos endpoints, ajudando a prevenir incidentes antes que ocorram.

O Brasil ocupa a primeira posição no ranking global de vítimas de fraudes digitais, segundo o Índice de Fraude 2025, elaborado pela Veriff. A pesquisa revela que os brasileiros enfrentam ataques online cinco vezes mais do que cidadãos dos Estados Unidos e do Reino Unido. Aproximadamente 26% dos entrevistados no Brasil relataram ter sido vítimas de fraudes nos últimos doze meses, enquanto as taxas nos EUA e Reino Unido são de 15% e 10%, respectivamente. O impacto financeiro é alarmante, com quase 40% dos brasileiros perdendo até R$ 1.300 em golpes, e 5% relatando perdas superiores a R$ 26 mil em um único incidente. A pesquisa também destaca o papel crescente da inteligência artificial (IA) e dos deepfakes, que contribuíram para um aumento de 21% nas fraudes digitais em comparação ao ano anterior. Quase metade dos entrevistados expressou preocupação com o uso de IA em golpes, refletindo um clima de insegurança. Apesar disso, os brasileiros demonstram maior disposição para adotar sistemas de proteção digital em comparação à média global, indicando uma conscientização crescente sobre a segurança online.

Pesquisadores das universidades Georgia Tech e Purdue University descobriram uma falha grave em CPUs modernas da AMD e Intel, que permite o acesso a informações sensíveis armazenadas no Ambiente de Execução Confiável (TEE). O ataque, denominado TEE.Fail, explora vulnerabilidades nas tecnologias Intel SGX/TDX e AMD SEV-SNP, especialmente em sistemas que utilizam memórias DDR5. Embora o método de ataque exija acesso físico à máquina e uma modificação invasiva, ele pode ser realizado com um custo inferior a 1.000 euros, tornando-o acessível até mesmo para entusiastas de hardware. Durante os testes, os pesquisadores conseguiram extrair chaves de assinatura do OpenSSL em máquinas virtuais protegidas pela tecnologia SEV-SNP da AMD, mesmo com a segurança adicional ativada. Apesar da gravidade da vulnerabilidade, o ataque não representa uma ameaça imediata para o usuário comum, pois requer privilégios de administrador e acesso físico. A AMD, única entre as fabricantes a responder, afirmou que não planeja correções, uma vez que a solução exigiria alterações de hardware. Essa situação levanta preocupações sobre a segurança de dados sensíveis em ambientes corporativos que utilizam essas tecnologias.

A OB-GYN Associates, uma clínica de saúde feminina em Reno, Nevada, confirmou que notificou 62.238 pessoas sobre um vazamento de dados ocorrido em agosto de 2025. O incidente comprometeu informações sensíveis, incluindo nomes, números de Seguro Social, números de carteira de motorista, informações médicas, números de contas bancárias e números de roteamento. O grupo de ransomware Inc reivindicou a responsabilidade pelo ataque em 27 de agosto de 2025, embora a clínica não tenha verificado essa alegação. O ataque foi detectado em 7 de agosto de 2025, e a investigação concluiu que um terceiro não autorizado acessou a rede da clínica, adquirindo informações pessoais dos pacientes. A clínica está oferecendo 12 meses de monitoramento de crédito gratuito para as vítimas. Este ataque é um dos maiores registrados em provedores de saúde neste ano, refletindo uma tendência alarmante de ataques de ransomware no setor de saúde dos EUA, que já contabilizou 71 ataques confirmados em 2025, comprometendo 7,6 milhões de registros. O grupo Inc, ativo desde julho de 2023, já reivindicou 129 ataques confirmados, com 49 deles direcionados a provedores de saúde.

Uma vulnerabilidade severa foi descoberta no motor de renderização Blink do Chromium, permitindo que navegadores baseados em Chromium, como Google Chrome e Microsoft Edge, sejam explorados para falhar em questão de segundos. O pesquisador de segurança Jose Pino, que revelou a falha, a nomeou de Brash. Essa vulnerabilidade se origina da falta de limitação de taxa nas atualizações da API ‘document.title’, permitindo que milhões de mutações do modelo de objeto do documento (DOM) sejam enviadas por segundo, levando o navegador a travar e degradar o desempenho do sistema. O ataque ocorre em três etapas: geração de hash, injeção em rajadas de atualizações e saturação da thread da interface do usuário, resultando em um navegador não responsivo. Além disso, Brash pode ser programada para ser ativada em momentos específicos, funcionando como uma bomba lógica. A falha afeta todos os navegadores baseados em Chromium, enquanto o Mozilla Firefox e o Apple Safari estão imunes. A equipe do Hacker News entrou em contato com o Google para obter mais informações sobre a correção.

O AdaptixC2, um framework de código aberto para comando e controle (C2), está sendo utilizado por um número crescente de atores de ameaças, incluindo grupos de ransomware ligados à Rússia. Desenvolvido inicialmente por um usuário do GitHub conhecido como ‘RalfHacker’, o AdaptixC2 é projetado para testes de penetração e oferece uma variedade de recursos, como comunicações criptografadas, execução de comandos e gerenciamento de credenciais. Desde sua liberação pública em agosto de 2024, o framework tem sido adotado por grupos de hackers, incluindo operações de ransomware como Fog e Akira. A Palo Alto Networks caracterizou o AdaptixC2 como um framework modular que permite controle abrangente de máquinas comprometidas. Apesar de ser uma ferramenta ética, sua popularidade entre cibercriminosos levanta preocupações. A empresa Silent Push iniciou uma investigação após a descrição de RalfHacker como ‘MalDev’, encontrando conexões com o submundo criminoso da Rússia. Embora não se saiba se RalfHacker está diretamente envolvido em atividades maliciosas, a utilização crescente do AdaptixC2 por atores de ameaças russos é um sinal de alerta significativo.

O Google anunciou que suas defesas contra fraudes em Android protegem usuários globalmente, bloqueando mais de 10 bilhões de chamadas e mensagens suspeitas mensalmente. A empresa impediu que mais de 100 milhões de números suspeitos utilizassem os Serviços de Comunicação Ricos (RCS), evitando que fraudes fossem enviadas. Recentemente, o Google implementou links mais seguros no aplicativo Google Messages, alertando os usuários sobre URLs em mensagens marcadas como spam. A análise de relatórios de usuários revelou que fraudes de emprego são as mais comuns, seguidas por golpes financeiros relacionados a contas falsas e esquemas de investimento. O Google também observou um aumento em mensagens fraudulentas enviadas em grupos, o que pode tornar as fraudes menos suspeitas. As mensagens fraudulentas seguem um padrão de envio, com picos de atividade nas manhãs de segunda-feira. Os golpistas utilizam táticas como ‘Spray and Pray’ e ‘Bait and Wait’ para enganar as vítimas, e a operação é apoiada por fornecedores que oferecem serviços de envio em massa. O cenário de mensagens fraudulentas é volátil, com golpistas mudando constantemente de estratégia para evitar a detecção.

Recentemente, foram divulgadas 14 vulnerabilidades críticas no Jenkins, um servidor de automação amplamente utilizado, que expõem as infraestruturas de CI/CD de empresas a riscos significativos. Entre as falhas, destaca-se o bypass de autenticação SAML, identificado como CVE-2025-64131, com uma pontuação CVSS de 8.4. Essa vulnerabilidade permite que atacantes interceptem e reproduzam requisições de autenticação SAML, obtendo acesso total a contas de usuários sem a necessidade de credenciais válidas. Além disso, o plugin MCP Server apresenta falhas de autorização que permitem a escalada de privilégios, enquanto o plugin Azure CLI possibilita a execução de comandos de sistema arbitrários. Outras vulnerabilidades incluem injeções de comandos, armazenamento em texto simples de tokens de autenticação e problemas de verificação de permissões. As organizações que utilizam versões afetadas devem priorizar a aplicação de patches para mitigar esses riscos e proteger suas operações. A atualização para versões corrigidas é essencial para evitar acessos não autorizados e ataques de escalada de privilégios.

Pesquisadores da Unit 42 identificaram uma nova família de malware chamada Airstalk, que ataca sistemas Windows utilizando APIs legítimas de gerenciamento de dispositivos móveis para estabelecer canais de comando e controle (C2) encobertos. O malware possui variantes em PowerShell e .NET, e há indícios de que um ator de estado-nação pode ter utilizado essa ameaça em ataques à cadeia de suprimentos. Airstalk se destaca por explorar a API AirWatch da VMware, agora conhecida como Workspace ONE Unified Endpoint Management, abusando de atributos de dispositivos personalizados e capacidades de upload de arquivos para criar um mecanismo de comunicação bidirecional com os atacantes.

Pesquisadores de segurança identificaram uma falha crítica na arquitetura do motor de renderização Blink, que afeta navegadores baseados em Chromium, como Chrome, Edge, Brave e Opera, colocando mais de 3 bilhões de usuários em risco de ataques de negação de serviço (DoS). Denominada Brash, a vulnerabilidade permite que atacantes incapacitem completamente esses navegadores em apenas 15 a 60 segundos, utilizando técnicas simples de injeção de código. O ataque explora a ausência de limitação de taxa na API document.title, inundando o navegador com milhões de solicitações de atualização de título por segundo, o que sobrecarrega o thread principal do navegador e provoca um colapso do sistema. Testes mostraram que todos os navegadores baseados em Chromium são vulneráveis, enquanto Firefox e Safari permanecem imunes devido a arquiteturas de renderização diferentes. As consequências vão além da simples inconveniência, afetando o desempenho do sistema e podendo interromper operações críticas em setores como saúde e finanças. A vulnerabilidade ainda não foi corrigida, e patches estão em desenvolvimento, o que exige atenção imediata dos usuários e administradores de sistemas.

O cenário de cibersegurança está cada vez mais voltado para ataques baseados em nuvem, com criminosos cibernéticos explorando ferramentas de segurança legítimas para realizar reconhecimento malicioso. A AzureHound, uma ferramenta de teste de penetração destinada a profissionais de segurança autorizados, foi transformada em uma arma por atacantes que buscam comprometer ambientes do Azure e do Microsoft Entra ID. Pesquisadores de segurança relataram que adversários sofisticados, como grupos apoiados pelo Irã e pela Rússia, estão utilizando a AzureHound em suas atividades de descoberta pós-compromisso. A ferramenta coleta dados através das APIs do Microsoft Graph e Azure REST, permitindo que atacantes mapeiem caminhos de ataque, identifiquem alvos de alto valor e descubram oportunidades de escalonamento de privilégios. Após obter acesso inicial ao ambiente da vítima, os atacantes podem usar a AzureHound para enumerar rapidamente todo o inquilino do Azure, sem necessidade de posicionamento especial na rede. Para se proteger contra o abuso da AzureHound, as organizações devem implementar controles de segurança em camadas, como autenticação multifator, políticas de acesso condicional e monitoramento de atividades da API do Azure. A vigilância contínua e a resposta rápida a incidentes são essenciais para mitigar esses riscos.

Nos primeiros nove meses de 2025, foram registrados 180 ataques cibernéticos no setor educacional, um aumento de 6% em relação ao mesmo período de 2024. Apesar desse crescimento, os últimos dois trimestres de 2025 mostraram uma diminuição significativa nos ataques, marcando a primeira queda desde o início do ano. Até agora, 63 ataques foram confirmados, resultando em 227.214 registros de dados comprometidos. Os ataques frequentemente causaram interrupções nas atividades escolares, com um impacto médio de 2,6 TB de dados roubados por ataque. Os grupos de ransomware mais ativos incluem Qilin, Fog e Interlock, sendo este último responsável pela maioria dos ataques confirmados. Os Estados Unidos lideram em número de ataques, seguidos pelo Reino Unido e França, que viu um aumento significativo nos incidentes. As demandas de resgate variam, com uma média de $444.400, e alguns casos extremos chegando a $1,5 milhão. A situação exige atenção especial dos líderes de segurança, especialmente em relação à proteção de dados e conformidade com a LGPD.

Pesquisadores de cibersegurança descobriram uma campanha ativa de ataque à cadeia de suprimentos de software, denominada PhantomRaven, que visa o registro npm. Desde agosto de 2025, mais de 100 pacotes maliciosos foram identificados, com um total de 126 bibliotecas npm que atraíram mais de 86.000 instalações. Esses pacotes são projetados para roubar tokens de autenticação, segredos de CI/CD e credenciais do GitHub dos desenvolvedores. O ataque se destaca pela técnica de esconder código malicioso em dependências, utilizando URLs HTTP personalizadas que direcionam para um site não confiável, dificultando a detecção por ferramentas de segurança. Quando um desenvolvedor instala um pacote aparentemente benigno, o código malicioso é executado, coletando informações sensíveis do ambiente do desenvolvedor e enviando-as para um servidor remoto. A escolha dos nomes dos pacotes não é aleatória, aproveitando-se de um fenômeno conhecido como slopsquatting, onde nomes plausíveis são gerados por modelos de linguagem. Essa situação ressalta a necessidade de uma vigilância constante em ecossistemas de código aberto, onde a facilidade de publicação pode facilitar a disseminação de malware.

O cenário de cibersegurança está em constante evolução, com atacantes focando em alvos de alto impacto e explorando novas vulnerabilidades. Recentemente, o Hijack Loader foi utilizado em campanhas de phishing na América Latina, especificamente na Colômbia, onde e-mails falsos relacionados ao escritório do Procurador Geral foram enviados para disseminar o PureHVNC RAT. Além disso, um ex-empregado de um contratante de defesa dos EUA foi condenado por vender segredos comerciais a um corretor russo, recebendo pagamentos em criptomoedas. A Europol alertou sobre o aumento da fraude global impulsionada por chamadas com identificação falsa, que causam perdas estimadas em 850 milhões de euros anualmente. Em resposta a essas ameaças, o Google anunciou que o Chrome passará a usar HTTPS como padrão a partir de abril de 2026, visando aumentar a segurança dos usuários. Por fim, uma avaliação da segurança cibernética do setor energético dos EUA revelou uma exposição significativa à internet, com quase 40 mil hosts vulneráveis. Esses eventos destacam a necessidade urgente de ações proativas por parte das organizações para proteger seus ativos digitais.

O Picus Breach and Simulation (BAS) Summit deste ano destacou uma mudança significativa na abordagem da cibersegurança, enfatizando que a defesa não se trata mais de prever ataques, mas de provar a eficácia das defesas existentes. Com a velocidade com que novos exploits surgem e se espalham, a necessidade de testar controles em tempo real se torna crucial. O BAS evoluiu de uma atividade anual de conformidade para uma prática diária que valida se as defesas estão realmente funcionando. A simulação de comportamentos adversariais em ambientes controlados permite que as equipes de segurança entendam como suas defesas reagem a ataques, focando em resultados e não apenas em inventários de vulnerabilidades. Além disso, a integração da inteligência artificial no processo de cibersegurança se mostrou mais eficaz na organização de dados do que na criação de novos, permitindo uma resposta mais rápida e precisa a ameaças. O evento também evidenciou que a validação contínua das defesas pode transformar a abordagem de ‘corrigir tudo’ para ‘corrigir o que realmente importa’, priorizando as vulnerabilidades que representam riscos reais. Essa mudança de paradigma é essencial para que as organizações se mantenham à frente das ameaças cibernéticas.

Pesquisadores de segurança da XLab identificaram uma expansão significativa da botnet PolarEdge, que comprometeu mais de 25.000 dispositivos e 140 servidores de comando e controle (C2) em 40 países. A descoberta se concentrou em um novo componente, o RPX_Client, que transforma dispositivos IoT vulneráveis em nós proxy para operações cibernéticas. O ataque foi detectado em 30 de maio de 2025, quando um arquivo ELF chamado ‘w’ começou a ser distribuído, inicialmente sem detecções no VirusTotal, sugerindo uma campanha furtiva. A maioria dos dispositivos infectados está localizada na Coreia do Sul (41,97%), seguida pela China (20,35%) e Tailândia (8,37%). Os alvos principais incluem câmeras de vigilância KT CCTV e gravadores de vídeo digitais da Shenzhen TVT, além de roteadores Asus e Cisco. A infraestrutura RPX_Server opera em servidores virtuais privados, principalmente na Alibaba Cloud e Tencent Cloud, utilizando um certificado PolarSSL idêntico, o que facilitou a validação dos servidores ativos. O design da botnet complica os esforços de atribuição, tornando a identificação de origens de ataques mais desafiadora.

Pesquisadores da SquareX alertam sobre um novo vetor de ataque que utiliza extensões maliciosas para criar barras laterais falsas em navegadores. Essas barras laterais imitam assistentes de IA legítimos e podem capturar informações sensíveis, como senhas e tokens de autenticação, sem que o usuário perceba. O ataque se dá através da injeção de JavaScript nas páginas da web, permitindo que a interface falsa sobreponha a verdadeira, dificultando a detecção. Os especialistas destacam que muitas extensões solicitam permissões amplas, como acesso a hosts e armazenamento, o que torna a análise de permissões uma estratégia de detecção menos eficaz. A crescente popularidade de navegadores com assistentes de IA pode aumentar a superfície de ataque, tornando a segurança mais desafiadora. Os usuários são aconselhados a tratar esses assistentes como recursos experimentais e evitar o manuseio de dados sensíveis. As equipes de segurança devem implementar controles mais rigorosos sobre extensões e monitorar atividades anômalas para mitigar riscos. O artigo enfatiza a necessidade de verificações de integridade da interface e uma melhor orientação sobre o uso aceitável dessas ferramentas.

A pesquisa ‘Golpes com Pix’, realizada pela Silverguard, revelou um aumento alarmante nos prejuízos causados por golpes digitais em 2025, com um crescimento médio de 21% em relação ao ano anterior. O estudo, que analisou 12.197 denúncias na Central SOS Golpe, mostrou que os golpes de engenharia social, que enganam as vítimas para que realizem pagamentos, resultaram em perdas de R$ 51 bilhões. Além disso, fraudes com cartão de crédito e golpes em contas-correntes e poupanças somaram R$ 23 bilhões e R$ 38 bilhões, respectivamente, totalizando mais de R$ 100 bilhões em prejuízos relacionados a golpes digitais no Brasil. A pesquisa também destacou uma mudança no perfil dos alvos, com 65% dos golpes direcionados a contas jurídicas, indicando uma profissionalização do crime digital. Os estados de Alagoas, Espírito Santo e Roraima lideram em termos de prejuízo médio por golpe. A análise aponta que as plataformas sociais, especialmente as da Meta, são os principais locais onde esses golpes ocorrem, com o uso crescente de inteligência artificial para tornar as fraudes mais convincentes. O cenário é preocupante, especialmente para pessoas acima de 60 anos, que são as mais afetadas por esses crimes.

O grupo de ransomware Devman reivindicou um ataque cibernético ao Family Health West, um hospital e rede de clínicas médicas no Colorado, que resultou na paralisação de todos os sistemas eletrônicos da instituição. Embora a Family Health West tenha afirmado que não há evidências de perda ou criptografia de dados, o Devman alegou ter roubado 120 GB de informações e exigiu um resgate de $700.000, ameaçando divulgar os dados se a quantia não for paga em quatro dias. Este ataque marca a primeira vez que o Devman ataca uma empresa de saúde e também é seu primeiro alvo nos Estados Unidos. O grupo, que opera um modelo de ransomware como serviço, já atacou 41 organizações, com um resgate médio de $4,4 milhões. Em 2025, foram registrados 71 ataques de ransomware em instituições de saúde dos EUA, comprometendo mais de 7,5 milhões de registros. Os ataques a hospitais podem colocar em risco a saúde e a segurança dos pacientes, levando a interrupções nos serviços e à necessidade de recorrer a métodos manuais de atendimento.

Um estudo da Coveware revelou que apenas 23% das empresas vítimas de ataques de ransomware pagaram os resgates exigidos no terceiro trimestre de 2025, a menor taxa já registrada. Essa queda reflete uma mudança significativa na postura das organizações, que estão investindo mais em defesas contra ataques cibernéticos em vez de ceder às exigências dos criminosos. A média dos valores pagos também caiu drasticamente, com uma redução de 66% em relação ao trimestre anterior, totalizando US$ 376 mil. A evolução dos ataques de ransomware, que agora frequentemente incluem a exfiltração de dados, tem levado as empresas a reconsiderarem suas estratégias de pagamento. Especialistas apontam que cada pagamento evitado limita os recursos dos cibercriminosos, dificultando suas operações. Além disso, a conscientização sobre os riscos e a pressão regulatória têm contribuído para essa resistência crescente. As empresas estão adotando medidas de segurança mais robustas, como autenticação multifator e treinamento de funcionários, para prevenir ataques. A tendência é que os grupos de ransomware se tornem mais seletivos em seus alvos, focando em grandes corporações que possam pagar resgates elevados, enquanto tentam adaptar suas táticas para se manterem lucrativos.

O malware Baohuo, que se disfarça como versões falsas do Telegram X, já infectou mais de 58 mil dispositivos globalmente, com 12 mil vítimas no Brasil, representando 20,5% do total. A ameaça, identificada pela empresa de segurança Doctor Web, não se limita a smartphones, afetando também tablets e sistemas de infotenimento. Os criminosos utilizam sites fraudulentos em português que imitam lojas de aplicativos, atraindo usuários com promessas de recursos aprimorados. O Baohuo opera de forma discreta, permitindo que os cibercriminosos tenham controle total sobre as contas do Telegram das vítimas sem que elas percebam. O malware se destaca por sua sofisticação, utilizando técnicas como backdoors e um sistema de comando e controle baseado em Redis, que permite a exfiltração de dados e controle remoto das funcionalidades do aplicativo. A campanha começou em meados de 2024 e continua ativa, com cerca de 20 mil conexões de dispositivos infectados. A escolha do Brasil como alvo prioritário se deve à alta penetração do Telegram e à vulnerabilidade dos usuários a golpes.

Um novo projeto de pesquisa em segurança, denominado TEE.fail, revelou vulnerabilidades críticas em Ambientes de Execução Confiável (TEEs) modernos da Intel, AMD e Nvidia. Os pesquisadores demonstraram que atacantes podem extrair chaves criptográficas por meio da interposição do barramento de memória DDR5, utilizando equipamentos comuns. Apesar das proteções de segurança em nível de hardware, esses ataques físicos podem comprometer ambientes de computação confidenciais ao interceptar o tráfego de memória DDR5. O ataque explora uma fraqueza fundamental na implementação da criptografia de memória pelas empresas, que utilizam modos de criptografia determinísticos, permitindo que padrões no tráfego de memória criptografada revelem informações sobre os dados subjacentes. Os pesquisadores conseguiram extrair chaves de atestação ECDSA do Intel Provisioning Certification Enclave (PCE) em uma única operação de assinatura, forjando cotações de atestação TDX que passaram pela verificação oficial da Intel. Além disso, a vulnerabilidade se estende à segurança de computação confidencial da Nvidia, permitindo a execução não autorizada de cargas de trabalho de IA. O ataque não requer exploração em nível de software, tornando as mitig ações tradicionais ineficazes. Este estudo, realizado por equipes da Georgia Tech e da Purdue University, destaca a importância das proteções de acesso físico, mesmo com os avanços tecnológicos em computação confidencial.

Um novo relatório da Group-IB revela que criminosos cibernéticos estão utilizando plataformas de negociação falsas para roubar fundos de investidores desavisados na Ásia. Essas plataformas, que imitam exchanges de criptomoedas e forex, empregam táticas avançadas de engenharia social e uma infraestrutura compartilhada para sistematizar a vitimização em massa. A pesquisa indica que os atores de ameaça mantêm uma infraestrutura centralizada que suporta múltiplos domínios fraudulentos, evidenciada por endpoints de API recorrentes e certificados SSL compartilhados. O fluxo de manipulação das vítimas, desde o primeiro contato até a extração de fundos, é meticulosamente organizado, com um operador principal supervisionando equipes especializadas. Apesar de esforços de fiscalização, como a implementação da Circular 17/2024 no Vietnã, que exige verificação biométrica mais rigorosa, os mercados negros estão respondendo com a venda de dados de identidade roubados e documentos falsificados. A integração de IA generativa nas operações de fraude representa uma nova ameaça, potencialmente automatizando iscas personalizadas em larga escala. O cenário sugere que redes de fraude transnacionais ainda operam em grande escala, desafiando as investigações das autoridades.

O ator de ameaças conhecido como zeta88 está promovendo um novo programa de ransomware como serviço (RaaS) chamado Gentlemen’s, que visa ambientes empresariais em sistemas operacionais Windows, Linux e ESXi. Este RaaS se destaca por sua arquitetura modular e compatível com múltiplas plataformas, utilizando linguagens como Go e C para otimização de desempenho. O ransomware implementa chaves efêmeras por arquivo, dificultando a recuperação de dados e aumentando a complexidade da descriptografia. Além disso, o malware possui recursos avançados de segurança operacional, como modos de execução silenciosa e técnicas anti-forense para evitar detecções. O modelo econômico do programa permite que afiliados recebam 90% dos pagamentos de resgate, enquanto os operadores retêm apenas 10%, refletindo uma tendência crescente em operações de ransomware. A operação exclui alvos na Rússia e em países da CEI, focando em empresas da América do Norte, Europa e APAC. Para se proteger contra essa ameaça emergente, as organizações devem priorizar a implementação de soluções de EDR, segmentação de rede e fortalecimento da infraestrutura de backup.

A IBM X-Force identificou uma campanha de phishing coordenada que visou usuários colombianos entre agosto e outubro de 2025. Os atacantes utilizaram comunicações judiciais falsificadas para distribuir o Trojan de Acesso Remoto (RAT) PureHVNC por meio do carregador de malware Hijackloader. Essa campanha é significativa, pois representa a primeira vez que o PureHVNC foi direcionado a usuários de língua espanhola e a primeira campanha do Hijackloader focada especificamente em vítimas da América Latina.

Uma campanha de intrusão de dois meses, recentemente descoberta, visou uma grande organização de serviços empresariais na Ucrânia, além de um ataque de uma semana contra uma entidade governamental local. Os atacantes, associados a grupos de ameaças russos, utilizaram táticas de ‘Living-off-the-Land’, evitando o uso de malware convencional e mantendo acesso persistente enquanto minimizavam os riscos de detecção. A invasão começou em 27 de junho de 2025, quando os hackers implantaram webshells em servidores expostos, provavelmente explorando vulnerabilidades não corrigidas. Um dos webshells identificados foi o Localolive, associado ao subgrupo Sandworm, uma unidade de inteligência militar da Rússia. Após a invasão inicial, os atacantes realizaram uma fase de reconhecimento metódica, coletando credenciais e configurando ferramentas legítimas para garantir acesso contínuo. A campanha destaca a sofisticação técnica dos atacantes e a necessidade de as organizações implementarem soluções robustas de detecção e resposta a incidentes, além de programas abrangentes de gerenciamento de vulnerabilidades.

Organizações na Ucrânia estão sendo alvo de ataques cibernéticos de origem russa, com o objetivo de roubar dados sensíveis e manter acesso persistente a redes comprometidas. Um relatório da equipe de Threat Hunter da Symantec e Carbon Black revelou que os ataques focaram uma grande organização de serviços empresariais por dois meses e uma entidade governamental local por uma semana. Os invasores utilizaram táticas de Living-off-the-Land (LotL) e ferramentas de uso duplo, minimizando o uso de malware para evitar detecções. Acesso inicial foi obtido através da implantação de web shells em servidores expostos, explorando vulnerabilidades não corrigidas. Um dos web shells, chamado Localolive, foi associado a um grupo de hackers conhecido como Sandworm, que já havia sido utilizado em campanhas anteriores. Os atacantes realizaram diversas ações, incluindo a execução de comandos PowerShell para manipular configurações do sistema e realizar reconhecimento. Embora a quantidade de malware utilizado tenha sido limitada, a atividade maliciosa foi predominantemente realizada com ferramentas legítimas, demonstrando um conhecimento profundo das ferramentas nativas do Windows. Este cenário destaca a crescente complexidade e sofisticação dos ataques cibernéticos, especialmente em contextos geopolíticos tensos.

O artigo da BeyondTrust destaca que em 2026, as ameaças cibernéticas estarão fortemente ligadas à gestão de identidades. A primeira previsão é a ascensão da IA agente como vetor de ataque, onde ferramentas de IA podem ser manipuladas para executar ações maliciosas devido a permissões inadequadas. A segunda previsão é o aumento do ‘account poisoning’, onde fraudadores inserem pagadores e cobradores fraudulentos em contas financeiras, utilizando automação para explorar falhas nos sistemas. Por último, o artigo alerta para a presença de ‘identidades fantasmas’ em sistemas de gerenciamento de identidade (IAM), que podem resultar em brechas de segurança não detectadas. As organizações devem adotar uma postura de segurança centrada na identidade, aplicando princípios de menor privilégio e zero trust. Além disso, o artigo menciona a obsolescência das VPNs tradicionais e o surgimento do ‘AI veganism’, um movimento contra o uso de IA por questões éticas. A mensagem central é que a segurança deve ser reavaliada à luz dessas novas ameaças, com foco na gestão de identidades.

A Inteligência Artificial (IA) está revolucionando a Governança, Risco e Conformidade (GRC), trazendo mudanças significativas na forma como as equipes operam. As capacidades da IA incluem acelerar auditorias, identificar riscos críticos rapidamente e reduzir o trabalho manual, resultando em maior eficiência e precisão. No entanto, essa transformação também apresenta novos desafios, como viés potencial, lacunas regulatórias e pontos cegos perigosos, que ainda estão sendo abordados por órgãos reguladores. Para ajudar as organizações a se adaptarem a esse novo cenário, será realizado um webinar gratuito intitulado ‘O Futuro da IA no GRC: Oportunidades, Riscos e Insights Práticos’. O evento abordará exemplos reais de como a IA melhora fluxos de trabalho de conformidade, lições aprendidas e melhores práticas, além de estratégias para identificar e mitigar riscos comuns. A velocidade da inovação em IA é impressionante, e a lacuna entre a capacidade tecnológica e o arcabouço legal representa uma exposição imediata ao risco. O webinar reunirá especialistas e exemplos práticos, permitindo que as organizações se preparem proativamente para os desafios que a IA traz ao GRC.

Pesquisadores em cibersegurança identificaram uma nova vulnerabilidade em navegadores web que utilizam inteligência artificial, como o OpenAI ChatGPT Atlas. O problema, denominado ‘cloaking direcionado a IA’, permite que atacantes manipulem o conteúdo exibido para crawlers de IA, expondo-os a ataques de envenenamento de contexto. A técnica, semelhante ao cloaking de motores de busca, utiliza uma verificação simples do agente do usuário para entregar conteúdo diferente para humanos e sistemas de IA. Isso pode distorcer a percepção de autoridade e verdade, afetando milhões de usuários. A empresa SPLX, que divulgou a vulnerabilidade, alerta que essa manipulação pode ser uma arma poderosa de desinformação, comprometendo a confiança nas ferramentas de IA. Além disso, um estudo da hCaptcha Threat Analysis Group revelou que muitos navegadores tentaram executar ações maliciosas sem necessidade de jailbreak, indicando uma falta de salvaguardas adequadas. Isso levanta preocupações sobre a segurança de sistemas que dependem de IA, especialmente em um cenário onde a otimização para IA se torna cada vez mais comum.

Pesquisadores em cibersegurança alertam para um aumento significativo de ataques automatizados direcionados a servidores PHP, dispositivos IoT e gateways de nuvem, realizados por botnets como Mirai, Gafgyt e Mozi. Segundo o relatório da Qualys Threat Research Unit, os servidores PHP se tornaram alvos principais devido ao uso generalizado de sistemas de gerenciamento de conteúdo, como WordPress e Craft CMS, que frequentemente apresentam vulnerabilidades conhecidas e configurações inadequadas. Entre as falhas exploradas estão CVE-2017-9841, CVE-2021-3129 e CVE-2022-47945, que permitem execução remota de código. Além disso, os atacantes estão utilizando strings de consulta específicas para iniciar sessões de depuração, o que pode expor dados sensíveis. A Qualys também observou que as tentativas de exploração frequentemente se originam de infraestruturas de nuvem, como AWS e Google Cloud, evidenciando como serviços legítimos estão sendo usados para encobrir atividades maliciosas. A empresa recomenda que os usuários mantenham seus dispositivos atualizados, removam ferramentas de desenvolvimento em ambientes de produção e restrinjam o acesso público à infraestrutura de nuvem. A nova botnet AISURU, classificada como TurboMirai, é capaz de lançar ataques DDoS superiores a 20 Tbps, destacando a evolução das ameaças cibernéticas atuais.

O uso de inteligência artificial (IA) no cibercrime está crescendo rapidamente, com 80% dos ataques de ransomware em 2023-2024 utilizando essa tecnologia. Ferramentas como GhostGPT e AkiraBot estão permitindo que cibercriminosos criem códigos maliciosos, elaborem e-mails de phishing e contornem CAPTCHAs. A evolução dos ataques DDoS, especialmente os de camada de aplicação, se torna mais complexa, pois a IA pode mimetizar o comportamento humano, dificultando a identificação de bots. A proteção tradicional, baseada em CAPTCHAs, já não é eficaz. Em resposta, a filtragem baseada em intenção surge como uma alternativa, avaliando o comportamento do usuário em vez de tentar distinguir humanos de máquinas. As empresas precisam investir em plataformas de mitigação de DDoS que suportem essa nova abordagem e implementar monitoramento em múltiplas camadas para detectar anomalias. A falta de soluções adequadas entre os provedores de segurança gerencia um risco significativo, especialmente para grandes empresas, que podem sofrer danos reputacionais e financeiros severos em caso de ataques bem-sucedidos.

O Atroposia é um novo trojan de acesso remoto (RAT) que vem ganhando popularidade em fóruns underground, sendo oferecido como um kit de ferramentas de cibercrime acessível e modular. Com um custo de aproximadamente R$ 1.000 por seis meses, ele é projetado para atacantes com pouca ou nenhuma habilidade técnica. Entre suas funcionalidades, destaca-se o HRDP Connect, que permite acesso remoto invisível ao desktop da vítima, possibilitando que os atacantes interajam com o sistema sem serem detectados. Além disso, o Atroposia inclui um módulo de escaneamento de vulnerabilidades, que identifica falhas em sistemas comprometidos, e mecanismos robustos de persistência que garantem a continuidade do acesso mesmo após reinicializações. Outro recurso preocupante é a captura do conteúdo da área de transferência, que pode extrair informações sensíveis em tempo real. O uso de técnicas como o sequestro de DNS para redirecionar tráfego também é uma ameaça significativa, permitindo ataques de phishing e comprometimento de redes. A Varonis alerta que a evolução de ferramentas como o Atroposia representa um desafio crescente para a segurança cibernética, exigindo que as empresas adotem análises comportamentais avançadas para detectar atividades suspeitas.