Cibersegurança

Nos últimos anos, a integração de assistentes de inteligência artificial (IA) em aplicações SaaS, como Zoom, Slack e Microsoft 365, trouxe uma nova dinâmica ao gerenciamento de dados e segurança. Esses assistentes, que operam em alta velocidade e com privilégios elevados, criam caminhos de integração dinâmicos entre diferentes sistemas, o que desafia os modelos tradicionais de segurança que assumem interfaces fixas e papéis de usuário estáveis. A dificuldade em rastrear as ações desses agentes de IA, que muitas vezes se misturam aos logs de usuários normais, expõe vulnerabilidades significativas. Para mitigar esses riscos, as equipes de segurança precisam adotar uma abordagem de segurança dinâmica, que monitore e adapte as políticas em tempo real, garantindo visibilidade e auditabilidade das ações dos assistentes de IA. Essa nova camada de segurança deve ser capaz de detectar desvios de acesso e comportamentos anômalos, permitindo uma resposta proativa a incidentes. À medida que as organizações adotam copilotos de IA, é crucial que os líderes de segurança reavaliem suas estratégias para garantir que a inovação não comprometa a segurança dos dados.

Em 2025, grupos de hackers ligados à Coreia do Norte foram responsáveis por um aumento alarmante nos roubos de criptomoedas, totalizando pelo menos $2,02 bilhões de um total de $3,4 bilhões roubados globalmente. Esse valor representa um crescimento de 51% em relação ao ano anterior, com a Coreia do Norte respondendo por 76% de todas as violações de serviços. O ataque mais significativo ocorreu em fevereiro, quando a exchange de criptomoedas Bybit foi comprometida, resultando em um roubo de $1,5 bilhão. O grupo de hackers conhecido como Lazarus, vinculado ao governo norte-coreano, tem um histórico de ataques a exchanges e serviços de criptomoedas, visando gerar receita ilícita para o regime, em violação a sanções internacionais. Além disso, a infiltração de trabalhadores de TI em empresas globais tem sido uma estratégia crescente, permitindo acesso privilegiado a serviços de criptomoedas. Os fundos roubados são frequentemente lavados através de serviços de movimentação de dinheiro em chinês e misturadores, seguindo um caminho estruturado de lavagem em várias etapas. Este cenário representa um risco significativo para a segurança cibernética global e destaca a necessidade de vigilância e mitigação por parte das empresas de tecnologia e finanças.

O boletim semanal de ameaças cibernéticas destaca a evolução das táticas de ataque, com um foco em um esquema de fraude internacional desmantelado na Ucrânia, onde mais de 400 vítimas perderam mais de €10 milhões. As autoridades europeias, em colaboração com a Eurojust, prenderam 12 suspeitos envolvidos em call centers que enganavam vítimas, utilizando técnicas como a simulação de policiais para obter informações bancárias. Além disso, o governo do Reino Unido está pressionando a Apple e o Google a implementar sistemas de bloqueio de nudez em dispositivos móveis, visando proteger crianças. Outra ameaça emergente é o malware SantaStealer, que coleta dados sensíveis e opera de forma modular, dificultando a detecção. O artigo também menciona a resiliência de provedores de Bulletproof Hosting, que permitem que criminosos cibernéticos operem com agilidade. Por fim, novas técnicas de engenharia social, como o ataque GhostPairing, estão sendo utilizadas para sequestrar contas do WhatsApp, destacando a necessidade de vigilância constante. O cenário cibernético continua a se transformar rapidamente, exigindo atenção das organizações para mitigar riscos.

A Hewlett Packard Enterprise (HPE) anunciou a correção de uma vulnerabilidade crítica no seu software OneView, que pode permitir a execução remota de código por usuários não autenticados. Identificada como CVE-2025-37164, essa falha recebeu a pontuação máxima de 10.0 no CVSS, indicando seu alto potencial de risco. O problema afeta todas as versões anteriores à 11.00 do OneView, que é uma ferramenta de gerenciamento de infraestrutura de TI. A HPE disponibilizou um hotfix para as versões 5.20 a 10.20, mas é importante ressaltar que esse hotfix deve ser reaplicado após atualizações específicas. Embora a empresa não tenha relatado a exploração da vulnerabilidade em ambientes reais, recomenda-se que os usuários apliquem as correções o mais rápido possível para garantir a segurança de seus sistemas. Além disso, em junho, a HPE já havia lançado atualizações para corrigir outras oito vulnerabilidades em sua solução StoreOnce, que também poderiam resultar em execução remota de código. A situação destaca a importância da gestão de patches e da vigilância contínua em ambientes corporativos.

A Cisco alertou sobre uma vulnerabilidade zero-day de gravidade máxima no software Cisco AsyncOS, que está sendo ativamente explorada por um grupo de ameaças persistentes avançadas (APT) da China, conhecido como UAT-9686. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root em dispositivos afetados, comprometendo a segurança do sistema operacional subjacente. A vulnerabilidade afeta todas as versões do Cisco AsyncOS, mas a exploração só é possível se o recurso de Quarentena de Spam estiver habilitado e acessível pela internet. A Cisco recomenda que os usuários verifiquem a configuração de seus dispositivos e adotem medidas de segurança, como limitar o acesso à internet e monitorar o tráfego de logs. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais implementem mitigação até 24 de dezembro de 2025. Além disso, a GreyNoise relatou uma campanha coordenada de tentativas de login automatizadas em infraestruturas de autenticação de VPN, destacando a necessidade de vigilância contínua contra ataques cibernéticos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica, identificada como CVE-2025-59374, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.3, essa falha é classificada como uma ‘vulnerabilidade de código malicioso embutido’, resultante de uma violação na cadeia de suprimentos. A CISA alertou que versões específicas do cliente ASUS Live Update foram distribuídas com modificações não autorizadas, permitindo que atacantes realizassem ações indesejadas em dispositivos que atendiam a certas condições. Essa vulnerabilidade remete a um ataque à cadeia de suprimentos que ocorreu em 2019, quando um grupo de ameaças persistentes avançadas (APT) comprometeu servidores da ASUS, visando um grupo restrito de usuários. A ASUS já corrigiu a falha na versão 3.6.8 do software, mas a CISA recomendou que as agências federais descontinuem o uso do Live Update até 7 de janeiro de 2026, após o anúncio do fim do suporte ao software em 4 de dezembro de 2025. A empresa enfatizou seu compromisso com a segurança de software e a importância de atualizações em tempo real para proteger os dispositivos.

Luiz Fernando Souza, um jovem de 18 anos, foi preso em Agrolândia, Santa Catarina, após ser acusado de coagir meninas a se automutilarem por meio da plataforma Discord. Durante a investigação, a polícia encontrou materiais que incluíam imagens de jovens praticando automutilação e cenas de cunho sexual. Em um vídeo, Luiz revelou a idade de uma das vítimas, que teria apenas 12 ou 13 anos. A operação foi realizada após um mandado de prisão solicitado pela Justiça de São Paulo. Além das imagens de automutilação, a polícia também descobriu que as vítimas eram forçadas a marcar símbolos nazistas em seus corpos, incluindo os nomes de autoridades. Luiz foi detido em flagrante e teve um computador e um celular apreendidos para análise. O caso destaca o uso crescente de plataformas de comunicação online, como o Discord, para práticas criminosas, levantando preocupações sobre a segurança e a proteção de menores na internet.

A Richmond Behavioral Health Authority (RBHA), na Virgínia, notificou 113.232 pessoas sobre uma violação de dados ocorrida em setembro de 2025, conforme informações do Departamento de Saúde e Serviços Humanos dos EUA. A violação comprometeu nomes, números de Seguro Social, números de passaporte, informações financeiras e dados de saúde protegidos dos pacientes da RBHA. O grupo de ransomware Qilin reivindicou a responsabilidade pelo ataque, alegando ter roubado 192 GB de dados e postando imagens de documentos supostamente extraídos da RBHA em seu site de vazamento de dados. A RBHA não confirmou a veracidade da alegação do grupo, e detalhes sobre como a rede foi comprometida, se um resgate foi pago ou o valor exigido permanecem desconhecidos. O ataque é um dos maiores de 2025, afetando significativamente o setor de saúde, que já registrou 85 ataques de ransomware neste ano, comprometendo mais de 8,1 milhões de registros. A RBHA, uma organização sem fins lucrativos que atende cerca de 13.000 pessoas anualmente, não ofereceu monitoramento de crédito gratuito para as vítimas, o que levanta preocupações sobre a proteção contra roubo de identidade.

As equipes de segurança cibernética enfrentam um cenário desafiador, onde a quantidade de alertas e a velocidade das ameaças dificultam a identificação dos riscos mais relevantes. O artigo destaca a importância de uma postura proativa em vez de reativa, enfatizando que a defesa reativa resulta em investigações longas, desperdício de recursos e maior probabilidade de violações. A inteligência de ameaças (TI) é apresentada como uma solução para preencher as lacunas deixadas por operações reativas, fornecendo dados atualizados sobre as atividades dos atacantes. A ferramenta ANY.RUN’s Threat Intelligence Lookup permite que analistas enriqueçam alertas com informações contextuais, identifiquem campanhas de malware e ajustem suas defesas de forma mais eficaz. O artigo também ressalta a necessidade de entender o contexto específico de cada setor e região, já que as ameaças não estão distribuídas uniformemente. A visibilidade aprimorada e a capacidade de antecipar ataques são cruciais para que as equipes de segurança se mantenham à frente dos criminosos cibernéticos.

A botnet Kimwolf, identificada pela QiAnXin XLab, já infectou cerca de 1,8 milhão de dispositivos, incluindo TVs Android e set-top boxes. Entre 19 e 22 de novembro de 2025, a botnet emitiu 1,7 bilhão de comandos de ataque DDoS, destacando-se no ranking da Cloudflare. Os principais alvos são dispositivos de TV em redes residenciais, com infecções concentradas em países como Brasil, Índia e EUA. A botnet utiliza técnicas avançadas, como o uso de ENS (Ethereum Name Service) para dificultar sua desativação. A pesquisa sugere que Kimwolf pode estar associada à botnet AISURU, conhecida por ataques DDoS recordes. A malware é projetada para operar de forma discreta, garantindo que apenas uma instância do processo seja executada e utilizando criptografia TLS para comunicação. Com 13 métodos de ataque DDoS suportados, a botnet visa maximizar o uso da largura de banda dos dispositivos comprometidos, indicando um foco em monetização através de serviços de proxy. Este incidente destaca a crescente ameaça que botnets de grande escala representam para dispositivos IoT, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

A SonicWall anunciou a correção de uma vulnerabilidade crítica em seus dispositivos Secure Mobile Access (SMA) da série 100, identificada como CVE-2025-40602, com uma pontuação CVSS de 6.6. Essa falha permite a escalada de privilégios locais devido a uma autorização insuficiente no console de gerenciamento do aparelho. As versões afetadas incluem 12.4.3-03093 e anteriores, além de 12.5.0-02002 e anteriores, com correções disponíveis nas versões 12.4.3-03245 e 12.5.0-02283, respectivamente. A SonicWall alertou que essa vulnerabilidade está sendo explorada ativamente, especialmente em combinação com outra falha crítica, CVE-2025-23006, que permite a execução remota de código não autenticado com privilégios de root. Essa última falha foi corrigida em janeiro de 2025. A descoberta das vulnerabilidades foi creditada a pesquisadores do Google Threat Intelligence Group. Dada a gravidade da situação, é crucial que os usuários dos dispositivos SMA 100 apliquem as correções imediatamente para evitar possíveis comprometimentos.

Uma nova campanha de cibersegurança está ameaçando usuários do Microsoft Teams e do Google Meet no Brasil, com downloads falsos que disseminam malware. Especialistas da CyberProof identificaram que cibercriminosos estão utilizando técnicas de envenenamento de SEO para manipular resultados de busca, fazendo com que sites fraudulentos apareçam no topo. Ao acessar esses sites, os usuários acreditam estar baixando as plataformas legítimas, mas, na verdade, estão instalando o backdoor Oyster, um malware que cria uma porta de entrada oculta no sistema. Esse malware instala um arquivo malicioso chamado ‘AlphaSecurity.dll’, que é executado a cada 18 minutos, mesmo após reinicializações do sistema. A campanha é particularmente preocupante para o setor financeiro, onde o uso do Teams e Meet é elevado, aumentando o risco de sequestro de dados por grupos de ransomware. Especialistas recomendam que os usuários evitem clicar em anúncios de download e busquem sempre canais oficiais para evitar infecções.

A Seqrite Labs, empresa de cibersegurança, identificou uma nova campanha de phishing chamada Operação MoneyMount-ISO, que visa instituições financeiras e contábeis, principalmente na Rússia. Os atacantes enviam e-mails que aparentam ser confirmações de pagamento, mas contêm arquivos ISO disfarçados. Esses arquivos, ao serem abertos, instalam um malware conhecido como Phantom Stealer, que é capaz de roubar informações sensíveis, como dados de carteiras de criptomoeda, senhas, cookies e detalhes de cartões de crédito. O malware também monitora a área de transferência do usuário e as teclas pressionadas, além de evitar a execução em ambientes virtuais. Os dados coletados são enviados aos criminosos via Telegram ou Discord, e um servidor FTP é utilizado para transferir arquivos. Recentemente, outra campanha semelhante afetou setores de recursos humanos e pagamentos, utilizando um malware diferente chamado DUPERUNNER. A Intrinsec, uma empresa de cibersegurança, sugere que muitos desses ataques estão relacionados a hackativistas ucranianos visando o setor financeiro russo, em meio ao conflito entre os dois países.

Uma extensão do Google Chrome, chamada Urban VPN Proxy, que possui o selo ‘Em Destaque’ e é utilizada por mais de seis milhões de usuários, foi descoberta coletando de forma clandestina os prompts utilizados em chatbots de IA, como ChatGPT e outros. A empresa de segurança Koi Security identificou que, após uma atualização em julho de 2025, a extensão começou a interceptar conversas dos usuários. O código malicioso injetado na extensão modifica a API do navegador, redirecionando todas as requisições de rede para a extensão, permitindo a captura de dados que são enviados para servidores remotos da Urban Cyber Security Inc. Apesar de a política de privacidade afirmar que os dados são anonimizados, a coleta é realizada mesmo com a função de ‘Proteção de IA’ desativada. A extensão, que originalmente prometia proteger a identidade online, agora se revela uma ameaça à privacidade dos usuários, levantando preocupações sobre a confiança em ferramentas amplamente utilizadas. Este incidente destaca a vulnerabilidade das plataformas de extensões e a necessidade de maior vigilância sobre a coleta de dados pessoais, especialmente em um cenário onde as interações com IA estão se tornando cada vez mais comuns.

Especialistas em cibersegurança alertam que o grupo de hackers conhecido como ‘Ink Dragon’, patrocinado pelo Estado chinês, está ampliando suas operações em governos europeus. De acordo com um relatório da Check Point Software, os atacantes exploram servidores Microsoft IIS e SharePoint mal configurados para obter acesso inicial e estabelecer uma presença persistente. Ao invés de utilizar vulnerabilidades zero-day, que poderiam acionar alarmes de segurança, eles se aproveitam de fraquezas e configurações inadequadas. Uma vez dentro, o grupo instala backdoors, como o FinalDraft, que foi recentemente atualizado para misturar seu tráfego de comando e controle (C2) com atividades normais da nuvem da Microsoft, dificultando a detecção. O malware opera principalmente durante o horário comercial, quando o tráfego é mais intenso, tornando mais difícil identificar atividades suspeitas. O relatório indica que dezenas de entidades, incluindo governos e empresas de telecomunicações na Europa, Ásia e África, foram afetadas, com a operação de relé se expandindo gradualmente desde a segunda metade de 2025. A situação representa um risco significativo para a segurança cibernética, especialmente para organizações que utilizam as tecnologias mencionadas.

Desde julho de 2025, o grupo de cibercriminosos conhecido como Jewelbug tem direcionado suas atividades principalmente a alvos governamentais na Europa, enquanto ainda mantém ataques em regiões da Ásia e América do Sul. A Check Point Research, que monitora essa ameaça sob o nome Ink Dragon, descreve a atuação do grupo como altamente eficaz e discreta, utilizando engenharia de software avançada e ferramentas nativas de plataformas para se camuflar no tráfego normal das empresas. Entre suas táticas, destacam-se o uso de backdoors como FINALDRAFT e NANOREMOTE, que permitem controle remoto e exfiltração de dados. O grupo também explorou vulnerabilidades em serviços da ASP.NET e SharePoint para comprometer servidores e estabelecer uma infraestrutura de comando e controle (C2). As intrusões têm resultado em acesso a informações sensíveis, incluindo credenciais administrativas e dados de registro. A Check Point alerta que a arquitetura de relé do Ink Dragon permite que um único comprometimento se torne um nó em uma rede de ataques mais ampla, exigindo que as defesas considerem a possibilidade de uma rede de cibercriminosos interconectada.

A Kaspersky revelou uma nova onda de ataques de phishing, atribuídos ao ator de ameaças ligado à Operação ForumTroll, que tem como alvo acadêmicos na Rússia, especialmente nas áreas de ciência política, relações internacionais e economia global. Detectados em outubro de 2025, esses ataques utilizam uma vulnerabilidade zero-day no Google Chrome (CVE-2025-2783) para implantar o backdoor LeetAgent e um spyware chamado Dante. Os e-mails fraudulentos se disfarçam como comunicações da eLibrary, uma biblioteca científica russa, e são enviados de um domínio registrado seis meses antes do início da campanha, indicando um planejamento cuidadoso. Os alvos são instruídos a clicar em links maliciosos para baixar um relatório de plágio, resultando no download de um arquivo ZIP que contém um atalho do Windows. Ao ser executado, esse atalho ativa um script PowerShell que baixa um payload malicioso, permitindo acesso remoto ao dispositivo da vítima. A Kaspersky alerta que a Operação ForumTroll tem um histórico de ataques a organizações e indivíduos na Rússia e Belarus desde 2022, sugerindo que a ameaça continuará a se expandir.

Um novo relatório da JumpCloud e Google Workspace revela que apenas 6% dos líderes de TI estão satisfeitos com suas configurações tecnológicas atuais, destacando preocupações com custos, segurança e complexidade. A pesquisa indica que 87% dos líderes estão abertos a mudar suas suítes de produtividade em busca de plataformas mais unificadas e seguras. Os principais desafios enfrentados incluem tarefas administrativas elevadas, configurações de segurança complexas e preços complicados. A pesquisa critica a plataforma Microsoft 365, apontando a alta sobrecarga administrativa e a complexidade de configuração de segurança como principais pontos de dor. A utilização de inteligência artificial (IA) e uma postura de segurança de confiança zero são sugeridas como soluções para simplificar a gestão de dispositivos e usuários, além de prevenir ataques. O relatório enfatiza a necessidade de uma abordagem unificada para a gestão de identidade e segurança, em vez de depender de uma coleção desorganizada de ferramentas separadas.

Uma nova campanha chamada GhostPoster explorou arquivos de logotipo associados a 17 extensões do navegador Mozilla Firefox para embutir código JavaScript malicioso. Esse código é projetado para sequestrar links de afiliados, injetar códigos de rastreamento e cometer fraudes de cliques e anúncios. As extensões, que foram baixadas mais de 50.000 vezes, foram retiradas do ar após a descoberta pela Koi Security. Entre elas, estavam programas que prometiam funcionalidades como VPNs e bloqueadores de anúncios. O ataque se inicia quando o arquivo de logotipo é carregado, permitindo que o código malicioso busque um servidor externo para obter um payload principal. O malware é capaz de realizar diversas atividades fraudulentas, como desviar comissões de afiliados e injetar códigos de rastreamento em páginas visitadas. Além disso, técnicas de evasão foram implementadas para dificultar a detecção, como a ativação do malware apenas após seis dias da instalação. A campanha destaca a vulnerabilidade de extensões de navegador, que podem ser utilizadas para atividades maliciosas, colocando em risco a privacidade e a segurança dos usuários.

Um novo ataque cibernético tem se espalhado por meio de um torrent fraudulento que promete conter o filme “One Battle After Another”, estrelado por Leonardo DiCaprio. Ao clicar em um atalho disfarçado como lançador do filme, os usuários inadvertidamente executam um script PowerShell malicioso que se oculta em arquivos de legenda. Esse script extrai e executa outros scripts maliciosos, resultando na instalação do AgentTesla, um trojan de acesso remoto que rouba credenciais de navegadores, clientes de e-mail e ferramentas de FTP. A campanha, observada por pesquisadores, destaca a vulnerabilidade dos usuários que, atraídos pela curiosidade por novos lançamentos, ignoram os riscos de segurança. O ataque não depende de falhas de software, mas sim da execução do usuário, o que permite contornar defesas básicas de antivírus. A disseminação de torrents por publicadores anônimos continua a ser um método comum para a entrega de malware, reforçando a necessidade de cautela ao baixar conteúdos não verificados.

O grupo de hackers ShinyHunters está ameaçando o Pornhub com a divulgação de dados sensíveis de usuários Premium, incluindo histórico de pesquisas e visualizações. A coleta dessas informações teria ocorrido devido a uma falha de segurança na Mixpanel, uma empresa de análise de dados que presta serviços ao Pornhub. Os criminosos afirmam ter roubado cerca de 94 GB de dados, totalizando mais de 200 milhões de registros. Embora o Pornhub tenha tentado acalmar seus usuários, afirmando que dados financeiros e senhas não foram comprometidos, a situação levanta preocupações sobre a privacidade dos clientes. A Mixpanel, por sua vez, nega que os dados tenham sido obtidos em um incidente recente, alegando que a origem do vazamento remonta a uma violação de 2023. A contradição entre as declarações do Pornhub e da Mixpanel gera incertezas sobre a segurança dos dados dos usuários e a responsabilidade pela violação.

O Anchorage Neighborhood Health Center (ANHC) notificou 70.555 pessoas sobre uma violação de dados ocorrida em agosto de 2025, conforme informações do procurador-geral do Oregon. A violação comprometeu dados sensíveis, incluindo nomes, números de Seguro Social, datas de nascimento, números de identificação emitidos pelo estado, informações sobre tratamentos médicos e dados de seguros de saúde. No dia 26 de agosto, o ANHC anunciou dificuldades técnicas que impediram o agendamento de consultas e chamadas telefônicas, com interrupções que duraram mais de uma semana. Um grupo de hackers anônimo reivindicou a responsabilidade pelo ataque, alegando ter roubado 23 TB de dados, inicialmente afirmando ter acessado 10.000 registros de pacientes, número que foi posteriormente elevado para 60.000. O ANHC não confirmou a reivindicação dos hackers e não se sabe como a rede foi comprometida, se um resgate foi pago ou qual foi o valor exigido. Em resposta ao incidente, o ANHC tomou medidas imediatas para revisar a segurança da rede e lançou uma investigação com especialistas em cibersegurança. Embora tenha sido determinado que informações não públicas foram acessadas, não há evidências de que dados pessoais tenham sido usados para fraudes. O centro está oferecendo 12 meses de monitoramento de crédito gratuito aos indivíduos afetados.

Pesquisadores de cibersegurança descobriram um novo pacote NuGet malicioso que utiliza typosquatting para se passar pela popular biblioteca de rastreamento .NET, introduzindo um ladrão de carteiras de criptomoedas. Nomeado ‘Tracer.Fody.NLog’, o pacote foi publicado em 26 de fevereiro de 2020 e permaneceu no repositório por quase seis anos, sendo baixado mais de 2.000 vezes. O pacote se disfarça como ‘Tracer.Fody’, que é mantido por um autor legítimo, mas contém um código que escaneia diretórios de carteiras Stratis no Windows, extrai dados de carteiras e senhas, enviando essas informações para um servidor controlado por criminosos na Rússia. O ataque utiliza táticas sofisticadas para evitar detecções, como a imitação do nome do mantenedor legítimo e a ocultação de funções maliciosas em códigos comuns. O mesmo endereço IP já havia sido utilizado em um ataque anterior, demonstrando um padrão de comportamento de ameaças que pode se repetir em outras bibliotecas populares. A descoberta ressalta a importância da segurança na cadeia de suprimentos de software, especialmente em ambientes de código aberto.

Uma nova campanha de cibersegurança está atacando clientes da Amazon Web Services (AWS) utilizando credenciais comprometidas de Gerenciamento de Identidade e Acesso (IAM) para realizar mineração de criptomoedas. Detectada pela primeira vez em 2 de novembro de 2025 pelo serviço de detecção de ameaças GuardDuty da Amazon, a atividade emprega técnicas de persistência inovadoras para dificultar a resposta a incidentes. Os atacantes, operando de um provedor de hospedagem externo, rapidamente enumeraram recursos e permissões antes de implantar recursos de mineração em ECS e EC2. Em menos de 10 minutos após o acesso inicial, os mineradores estavam operacionais.

Um estudo da BioCatch revelou um aumento alarmante de 220% nas fraudes bancárias digitais no Brasil no primeiro semestre de 2025, em comparação ao segundo semestre de 2024. O crescimento dessas fraudes está associado ao aumento de ataques de malware, que visam roubar dados bancários, especialmente durante transações via Pix. Além disso, os golpes de ‘falsa central’, que utilizam chamadas telefônicas para enganar as vítimas, dobraram neste ano. Os criminosos frequentemente se passam por atendentes de instituições financeiras, solicitando informações sensíveis como senhas e códigos de segurança. Para se proteger, é essencial desconfiar de mensagens e ligações suspeitas, evitar clicar em links desconhecidos e nunca fornecer dados pessoais por telefone ou e-mail. O uso de autenticação multifator e ferramentas de segurança, como antivírus, também é recomendado. A vigilância constante é crucial, uma vez que os golpes estão se tornando cada vez mais sofisticados, especialmente com a popularização da inteligência artificial.

Recentemente, foram identificadas duas falhas de segurança críticas em dispositivos Fortinet FortiGate, que estão sendo ativamente exploradas por agentes maliciosos. As vulnerabilidades, identificadas como CVE-2025-59718 e CVE-2025-59719, possuem uma pontuação CVSS de 9.8, indicando seu alto nível de gravidade. A empresa de cibersegurança Arctic Wolf relatou que, desde 12 de dezembro de 2025, logins maliciosos utilizando autenticação de login único (SSO) têm sido realizados em dispositivos FortiGate, aproveitando-se dessas falhas. As vulnerabilidades permitem que atacantes contornem a autenticação SSO através de mensagens SAML manipuladas, especialmente se o recurso FortiCloud SSO estiver ativado. Embora essa funcionalidade esteja desativada por padrão, ela é ativada automaticamente durante o registro no FortiCare, a menos que os administradores a desativem manualmente. Os atacantes têm utilizado endereços IP de provedores de hospedagem específicos para realizar logins na conta ‘admin’ e exportar configurações de dispositivos. Diante da exploração ativa, é crucial que as organizações apliquem os patches disponibilizados pela Fortinet e desativem o FortiCloud SSO até que as atualizações sejam implementadas.

O crescimento acelerado no desenvolvimento de software assistido por IA traz desafios significativos para as equipes de segurança e privacidade. Com o aumento do número de aplicações e a velocidade das mudanças, as soluções tradicionais de segurança de dados se mostram reativas e ineficazes. Problemas como a exposição de dados sensíveis em logs e a falta de mapeamento preciso de dados aumentam os riscos de privacidade. O HoundDog.ai surge como uma solução proativa, oferecendo um scanner de código focado em privacidade que identifica riscos e vazamentos de dados antes que o código seja implementado. Essa ferramenta analisa rapidamente milhões de linhas de código, permitindo que as equipes detectem e previnam problemas de segurança desde as fases iniciais do desenvolvimento. Além disso, a integração com plataformas como Replit amplia a visibilidade sobre os riscos de privacidade em aplicações geradas por IA. A necessidade de controles de governança e detecção embutidos no processo de desenvolvimento é mais urgente do que nunca, especialmente em um cenário onde a conformidade com legislações como a LGPD é crítica.

A equipe de inteligência de ameaças da Amazon revelou detalhes sobre uma campanha de ciberataques patrocinada pelo Estado russo, que visou a infraestrutura crítica ocidental entre 2021 e 2025. Os alvos incluíram organizações do setor de energia e provedores de infraestrutura crítica na América do Norte e Europa, além de entidades com infraestrutura de rede hospedada em nuvem. A atividade foi atribuída com alta confiança ao Diretório Principal de Inteligência da Rússia (GRU), destacando a exploração de dispositivos de rede mal configurados como vetor inicial de acesso.

O Google anunciou que irá descontinuar sua ferramenta de relatório da dark web em fevereiro de 2026, menos de dois anos após seu lançamento. A decisão foi motivada pelo feedback dos usuários, que indicou que a ferramenta não oferecia passos práticos suficientes para a proteção das informações pessoais. A partir de 15 de janeiro de 2026, as varreduras para novas violações na dark web serão interrompidas, e todos os dados relacionados à ferramenta serão excluídos após sua desativação. A ferramenta, lançada em março de 2023, tinha como objetivo ajudar os usuários a monitorar se suas informações pessoais, como nome, endereço e número de segurança social, estavam disponíveis na dark web. Em julho de 2024, o Google expandiu o acesso à ferramenta para todos os titulares de contas, não apenas para assinantes do Google One. A empresa também incentivou os usuários a fortalecerem a segurança de suas contas, sugerindo a criação de chaves de acesso para autenticação multifatorial resistente a phishing e a remoção de informações pessoais dos resultados de busca do Google. Essa mudança reflete uma tendência maior de priorizar ferramentas que ofereçam ações mais claras para a proteção de dados online.

A vulnerabilidade conhecida como React2Shell está sendo explorada por grupos de ameaças para implantar malwares como KSwapDoor e ZnDoor, conforme relatórios da Palo Alto Networks e NTT Security. O KSwapDoor é uma ferramenta de acesso remoto projetada para operar de forma furtiva, utilizando criptografia de nível militar e um modo ‘sleeper’ que permite contornar firewalls. Por outro lado, o ZnDoor, que já está ativo desde dezembro de 2023, é um trojan de acesso remoto que executa comandos em sistemas comprometidos. As campanhas de ataque têm como alvo organizações no Japão e utilizam comandos bash para baixar e executar cargas maliciosas. A vulnerabilidade, classificada como CVE-2025-55182, possui uma pontuação CVSS de 10.0, indicando um risco crítico. Diversos grupos de ameaças, incluindo aqueles com vínculos com a China, têm explorado essa falha para executar comandos arbitrários e implantar ferramentas de monitoramento remoto. Além disso, a Shadowserver Foundation identificou mais de 111.000 endereços IP vulneráveis a ataques relacionados ao React2Shell, com a maioria localizada nos Estados Unidos. Este cenário representa um risco significativo para a segurança cibernética, exigindo atenção imediata das organizações.

Uma extensão do Google Chrome chamada Urban VPN Proxy, que possui seis milhões de usuários e é marcada como ‘Destaque’ na loja, foi descoberta coletando silenciosamente dados de usuários que interagem com chatbots de inteligência artificial, como ChatGPT e Microsoft Copilot. Apesar de se apresentar como uma ferramenta de VPN para proteger a identidade online, a versão 5.5.0 da extensão, lançada em julho de 2025, habilitou a coleta de dados de forma padrão. A coleta é realizada por meio de scripts JavaScript que interceptam as conversas dos usuários, capturando prompts, respostas dos chatbots e metadados de sessão, enviando essas informações para servidores remotos. A política de privacidade da Urban VPN menciona que os dados são coletados para melhorar a navegação segura e para fins de marketing, mas não garante a anonimização completa das informações. Além disso, a empresa BIScience, que possui a Urban Cyber Security Inc., é acusada de coletar dados de navegação sob políticas de privacidade enganosas. A situação levanta preocupações sobre a confiança em extensões de navegador e a proteção de dados pessoais, especialmente em um contexto onde os usuários compartilham informações sensíveis com chatbots.

Uma pesquisa da ReversingLabs revelou uma campanha de ciberataques direcionada a desenvolvedores que utilizam o Marketplace do Visual Studio Code (VS Code). Desde fevereiro de 2025, 19 extensões maliciosas foram identificadas, ocultando um trojan. O vetor de ataque foi descoberto em 2 de dezembro e envolve a manipulação de uma dependência popular chamada ‘path-is-absolute’, que possui mais de 9 bilhões de downloads. As extensões falsas, como uma versão adulterada do Prettier, foram projetadas para parecerem legítimas, mas continham código malicioso que se ativava ao abrir o VS Code. O malware se disfarça como uma imagem PNG, mas na verdade, é um arquivo que gera um erro ao ser aberto, revelando binários maliciosos. O trojan resultante, ainda em análise, utiliza a ferramenta nativa do Windows, cmstp.exe, para executar suas funções. Os usuários são aconselhados a inspecionar suas extensões, especialmente aquelas com poucos downloads ou avaliações, para evitar infecções.

Especialistas da Bitdefender alertaram sobre um arquivo torrent do filme ‘Uma Batalha Após a Outra’, estrelado por Leonardo DiCaprio, que está sendo utilizado como isca por hackers para disseminar um malware conhecido como Agent Tesla. Este software malicioso, que atua como um trojan de acesso remoto, compromete o sistema operacional Windows ao explorar programas legítimos para contornar medidas de segurança.

O ataque ocorre quando o usuário tenta abrir o arquivo torrent, que na verdade contém uma série de comandos maliciosos ocultos nas legendas do filme. Ao clicar no atalho ‘CD.lnk’, scripts do PowerShell são executados, permitindo que o malware se instale e ganhe controle sobre o dispositivo. O Agent Tesla é projetado para roubar informações pessoais e dados bancários, além de transformar o computador da vítima em um ‘agente zumbi’ para futuros ataques. Desde 2014, milhares de downloads comprometidos foram identificados, expondo muitos usuários a esse risco.

O grupo de hacktivistas pró-Rússia, conhecido como CyberVolk, lançou um ransomware chamado VolkLocker, que opera exclusivamente pelo Telegram. Este modelo de ransomware como serviço (RaaS) foi projetado para facilitar a venda de códigos maliciosos, permitindo que até mesmo usuários sem conhecimentos técnicos possam utilizá-lo. No entanto, uma falha crítica foi descoberta: as chaves mestras de criptografia estão incluídas nos arquivos executáveis, permitindo que as vítimas recuperem seus dados sem pagar o resgate. O especialista Jim Walter, da SentinelOne, destacou que essa contradição revela dificuldades na operação do grupo, que, apesar de sua automação sofisticada, cometeu um erro ao deixar as chaves acessíveis. O ransomware utiliza escalonamento de privilégios para obter controle total das máquinas infectadas, mas a falta de geração dinâmica das chaves pode ser uma vantagem para as vítimas. Apesar dessa falha, o CyberVolk continua a ser uma ameaça significativa, com recursos adicionais como keyloggers e trojans de acesso remoto. A situação exige atenção, pois o ransomware pode impactar usuários desavisados e organizações em geral.

O artigo de Michal Bürger, CEO da eM Client, destaca que a maioria das falhas de segurança em nuvem (99%) resulta de configurações inadequadas por parte dos usuários, e não de vulnerabilidades nos provedores. Embora o e-mail seja uma ferramenta central de comunicação nas organizações, ele frequentemente é responsabilizado por vazamentos de dados, mesmo quando não é o culpado. A falta de compreensão sobre as verdadeiras origens das brechas de segurança leva as equipes de TI a implementarem controles inadequados, que não resolvem as vulnerabilidades reais. O texto enfatiza a importância de focar na segurança do endpoint, na criptografia de dados e na educação dos usuários para mitigar riscos. A combinação de dispositivos seguros, comunicação criptografada e usuários informados pode transformar o cliente de e-mail em um ativo, em vez de um passivo na segurança organizacional. A abordagem sugerida visa alinhar as estratégias de segurança com os padrões reais de ataque, promovendo um ambiente de trabalho produtivo e seguro.

A Rockrose Development notificou 47.392 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações fiscais, números de carteira de motorista, passaportes, informações financeiras e dados médicos. O grupo de ransomware Play reivindicou a responsabilidade pelo ataque, alegando ter roubado documentos relacionados a clientes, contabilidade e informações financeiras. A Rockrose não confirmou se pagou um resgate ou como a violação ocorreu. A empresa está oferecendo 24 meses de proteção de identidade gratuita aos afetados. O ataque é parte de uma tendência crescente de ataques de ransomware em empresas de construção e desenvolvimento imobiliário nos EUA, com 12 ataques confirmados em 2025, comprometendo mais de 69 mil registros. O ataque à Rockrose é o maior registrado desde 2018, destacando a vulnerabilidade do setor a esse tipo de crime cibernético.

Em dezembro de 2025, pesquisadores de segurança revelaram uma campanha de cibercrime que comprometeu extensões populares dos navegadores Chrome e Edge. O grupo de ameaças conhecido como ShadyPanda passou sete anos publicando ou adquirindo extensões inofensivas, acumulando milhões de instalações antes de transformá-las em malware por meio de atualizações silenciosas. Aproximadamente 4,3 milhões de usuários foram afetados, com as extensões se tornando um framework de execução remota de código (RCE) que permitia o roubo de dados, como cookies de sessão e tokens de autenticação. Essa tática representa um ataque à cadeia de suprimentos de extensões de navegador, onde a confiança do usuário foi explorada. Para as equipes de segurança de SaaS, o incidente destaca a necessidade de uma abordagem integrada entre segurança de endpoints e identidade, já que as extensões podem comprometer contas corporativas sem disparar alarmes de segurança tradicionais. Medidas recomendadas incluem a implementação de listas de permissões de extensões, auditorias regulares e monitoramento de comportamentos suspeitos para mitigar riscos futuros.

Recentemente, hackers têm explorado falhas críticas em softwares amplamente utilizados, colocando em risco usuários de smartphones, navegadores web e aplicativos de desktop. A Apple e o Google lançaram atualizações de segurança para corrigir duas vulnerabilidades zero-day, CVE-2025-14174 e CVE-2025-43529, que permitem a execução de código arbitrário através de conteúdo web malicioso. Além disso, uma nova vulnerabilidade chamada SOAPwn foi descoberta em aplicações .NET, permitindo a execução remota de código devido a um comportamento inesperado dos proxies HTTP. Outra falha significativa foi identificada no WinRAR, com um CVSS de 7.8, que está sendo explorada por múltiplos grupos de ameaças. O CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais a corrigissem até 30 de dezembro de 2025. A situação é crítica, pois a exploração dessas falhas pode resultar em sérios danos, incluindo vazamento de dados e comprometimento de sistemas. Os usuários e administradores de sistemas devem aplicar as atualizações de segurança imediatamente para mitigar esses riscos.

Recentemente, foram divulgadas múltiplas vulnerabilidades de segurança na plataforma de troca de ramais privada de código aberto FreePBX, incluindo uma falha crítica que pode permitir a bypass de autenticação em configurações específicas. As vulnerabilidades, descobertas pela Horizon3.ai e reportadas em setembro de 2025, incluem: CVE-2025-61675 e CVE-2025-61678, ambas com pontuação CVSS de 8.6, que permitem injeções SQL autenticadas e upload de arquivos arbitrários, respectivamente. A CVE-2025-66039, com pontuação CVSS de 9.3, permite que atacantes contornem a autenticação ao configurar o ‘Authorization Type’ como ‘webserver’, possibilitando o acesso ao Painel de Controle do Administrador. Embora a configuração padrão do FreePBX não seja vulnerável, a ativação inadvertida dessa opção pode expor sistemas a ataques. As falhas foram corrigidas nas versões 16.0.92 e 17.0.6, lançadas em outubro de 2025, e 16.0.44 e 17.0.23, em dezembro de 2025. A recomendação é que os usuários evitem o uso do tipo de autenticação ‘webserver’ e realizem uma análise completa do sistema caso essa configuração tenha sido ativada.

Pesquisadores de cibersegurança revelaram uma campanha de phishing ativa, denominada Operação MoneyMount-ISO, que está atacando diversos setores na Rússia, especialmente entidades financeiras e contábeis. Os e-mails de phishing se disfarçam como comunicações financeiras legítimas, solicitando a confirmação de transferências bancárias. Os anexos contêm arquivos ZIP que, ao serem abertos, revelam uma imagem ISO maliciosa, que, quando montada, executa o malware Phantom Stealer. Este malware é projetado para roubar dados de carteiras de criptomoedas, senhas de navegadores e tokens de autenticação do Discord, além de monitorar o conteúdo da área de transferência e registrar teclas digitadas. A exfiltração de dados é realizada através de um bot do Telegram ou um webhook do Discord controlado pelo atacante.

Os ataques cibernéticos modernos estão se transformando, com a identidade se tornando o principal alvo dos criminosos. Em um cenário onde 75% das organizações enfrentaram incidentes relacionados a SaaS no último ano, a maioria envolvendo credenciais comprometidas, a segurança da identidade se torna crucial. Os atacantes utilizam inteligência artificial (IA) para imitar usuários legítimos, contornando controles de segurança e operando de forma discreta em ambientes confiáveis. A IA é empregada em várias etapas do ataque, desde a coleta de informações sobre funcionários até a geração de identidades sintéticas que dificultam a detecção. O uso de modelos de linguagem avançados permite que os criminosos criem campanhas de phishing mais sofisticadas e personalizadas. Além disso, a automação de processos de ataque, como a exploração de credenciais, torna as operações mais eficientes e direcionadas, aumentando a probabilidade de sucesso. Com a identidade se tornando a nova linha de defesa, as empresas precisam reavaliar suas estratégias de segurança para proteger dados críticos em plataformas SaaS.

À medida que nos aproximamos do final de 2025, dois fatos sobre a inteligência artificial (IA) são cruciais para os diretores de segurança da informação (CISOs). Primeiro, a maioria dos funcionários já utiliza ferramentas de IA generativa em suas atividades, mesmo que a empresa não forneça acesso ou proíba seu uso. Segundo, muitos desses funcionários já compartilharam informações internas e confidenciais com essas ferramentas. Um estudo da Microsoft revela que 75% dos trabalhadores do conhecimento estavam usando IA generativa em 2024, e 78% deles utilizavam ferramentas pessoais. Isso gera um aumento no ‘Access-Trust Gap’, que é a diferença entre aplicativos de negócios confiáveis e aqueles não gerenciados que acessam dados corporativos. Para mitigar riscos, as empresas precisam desenvolver um plano de habilitação de IA que inclua governança e controle de acesso. O artigo propõe seis perguntas essenciais para guiar essa elaboração, como quais casos de uso de IA são prioritários e quais ferramentas devem ser adotadas. A falta de governança pode resultar em violações de políticas e consequências legais. Portanto, é fundamental que as empresas adotem uma abordagem proativa e contínua para a governança da IA, garantindo que os funcionários utilizem aplicativos confiáveis e monitorados.

Na última sexta-feira, a Apple divulgou atualizações de segurança para iOS, iPadOS, macOS, tvOS, watchOS, visionOS e o navegador Safari, visando corrigir duas vulnerabilidades que já foram exploradas ativamente. As falhas identificadas são: CVE-2025-43529, uma vulnerabilidade de uso após liberação em WebKit que pode permitir a execução de código arbitrário ao processar conteúdo web malicioso, e CVE-2025-14174, um problema de corrupção de memória em WebKit, com uma pontuação CVSS de 8.8, que também pode resultar em corrupção de memória. A Apple reconheceu que essas falhas podem ter sido utilizadas em ataques sofisticados direcionados a indivíduos específicos em versões anteriores do iOS. É importante ressaltar que a CVE-2025-14174 é a mesma vulnerabilidade que a Google corrigiu em seu navegador Chrome no dia 10 de dezembro de 2025. As atualizações estão disponíveis para diversos dispositivos, incluindo iPhones a partir do modelo 11 e iPads a partir da 3ª geração do Pro. Com essas correções, a Apple já abordou nove vulnerabilidades zero-day exploradas em 2025, destacando a importância de manter os sistemas atualizados para garantir a segurança dos usuários.

Cibercriminosos estão utilizando um aplicativo legítimo da Play Store, chamado Supremo, para realizar fraudes digitais, especialmente na Argentina e no Brasil. A ESET identificou que os golpistas se passam por funcionários de bancos nas redes sociais, enganando usuários para que baixem o aplicativo, que oferece suporte técnico e administrativo à distância. Após a instalação, as vítimas são induzidas a compartilhar um código de acesso, permitindo que os criminosos assumam o controle remoto de seus dispositivos. Isso possibilita o acesso a informações sensíveis, como dados bancários, resultando em roubos de dinheiro e contratações fraudulentas de empréstimos. Desde maio de 2024, esse golpe tem se intensificado, com anúncios direcionados a idosos nas redes sociais, prometendo descontos em serviços. A situação é preocupante, pois, entre 2024 e 2025, o número de fraudes digitais desse tipo cresceu significativamente no Brasil, com mais de 10 mil ocorrências registradas, gerando grandes prejuízos financeiros. Especialistas alertam para a importância de campanhas educativas sobre segurança digital e recomendam que os usuários nunca instalem aplicativos de acesso remoto a partir de orientações de terceiros.

Recentemente, os desenvolvedores do Notepad++, um popular editor de código-fonte, emitiram um alerta sobre uma vulnerabilidade crítica em seu atualizador, o WinGUp. Hackers têm explorado essa falha para redirecionar o tráfego do atualizador para servidores maliciosos, resultando no download de malware nos computadores das vítimas. Essa exploração ocorre quando um atacante consegue interromper a comunicação entre o WinGUp e a infraestrutura de atualização, fazendo com que o software baixe arquivos infectados em vez de atualizações legítimas. Embora os ataques tenham sido direcionados e em número limitado, a situação é preocupante. Para mitigar o risco, os desenvolvedores lançaram uma atualização (v8.8.9) que corrige a falha, recomendando que os usuários a instalem manualmente. Além disso, é aconselhável realizar uma verificação completa com antivírus e, para empresas, restringir o acesso à internet durante o processo de atualização. A situação destaca a importância de manter softwares atualizados e de estar atento a potenciais ameaças cibernéticas.

Cibercriminosos estão utilizando táticas de engenharia social para se passar por autoridades policiais e obter acesso a dados pessoais de usuários de grandes empresas de tecnologia, como Apple e Google. Esses ataques incluem a criação de e-mails e sites que imitam endereços oficiais da polícia, com pequenas variações que podem passar despercebidas. Além disso, os criminosos também têm utilizado a técnica de Business Email Compromise (BEC), invadindo caixas de entrada de agentes e oficiais para enviar solicitações de dados que parecem legítimas. Embora as empresas de tecnologia estejam implementando portais de solicitação de dados mais rigorosos para verificar a autenticidade das solicitações, a vulnerabilidade ainda persiste, uma vez que os criminosos estão constantemente adaptando suas abordagens. A situação é preocupante, pois a entrega inadvertida de dados pessoais pode resultar em roubo de identidade e fraudes, colocando em risco a privacidade dos usuários e a conformidade com legislações como a LGPD no Brasil.

A fabricante nova-iorquina Fieldtex notificou 247.363 pessoas sobre uma violação de dados ocorrida em agosto de 2025, afetando informações pessoais de membros do programa de benefícios de saúde. O ataque cibernético, reivindicado pelo grupo de ransomware Akira, comprometeu dados como nomes, endereços, datas de nascimento e números de identificação de membros de planos de saúde. A Fieldtex, que fabrica equipamentos médicos e kits de primeiros socorros, confirmou a atividade não autorizada em seus sistemas em 19 de agosto de 2025. Embora o grupo Akira tenha afirmado ter roubado 14 GB de dados da marca E-First Aid Supplies, a empresa não confirmou a veracidade da alegação, mas admitiu que informações de saúde protegidas foram impactadas. A Fieldtex está oferecendo monitoramento de crédito gratuito para as vítimas. O ataque é um dos maiores registrados em 2025, destacando a crescente ameaça de ransomware no setor de saúde, que já contabiliza 19 ataques confirmados a empresas que não prestam cuidados diretos, comprometendo cerca de 5,8 milhões de registros pessoais.

Pesquisadores de cibersegurança alertam para uma nova campanha que utiliza repositórios Python hospedados no GitHub para distribuir um Trojan de Acesso Remoto (RAT) baseado em JavaScript, denominado PyStoreRAT. Esses repositórios, que se apresentam como ferramentas de desenvolvimento ou de inteligência de código aberto (OSINT), contêm apenas algumas linhas de código que baixam e executam um arquivo HTA remotamente. O PyStoreRAT é um implante modular que pode executar diversos tipos de arquivos, incluindo EXE, DLL e scripts em PowerShell. Além disso, ele implanta um ladrão de informações chamado Rhadamanthys como carga adicional. A campanha começou em junho de 2025 e se espalhou por meio de contas do GitHub, muitas vezes inativas, que foram reativadas para publicar os repositórios maliciosos. Os atacantes utilizam técnicas para aumentar artificialmente a popularidade dos repositórios, como inflar métricas de estrelas e forks. O malware é projetado para evitar a detecção de soluções de EDR, utilizando lógica de evasão e executando comandos que podem roubar informações sensíveis, especialmente relacionadas a carteiras de criptomoedas. A origem dos atacantes sugere um grupo de língua russa, e a campanha representa uma evolução nas técnicas de infecção, utilizando implantes baseados em scripts que se adaptam às medidas de segurança existentes.

Pesquisadores da Doctor Web identificaram um novo trojan chamado ChimeraWire, que afeta o ranqueamento de resultados no Google Chrome. Este malware não se limita ao roubo de dados, mas simula a atividade de usuários reais para aumentar a visibilidade de sites específicos, manipulando o SEO através de buscas automatizadas e cliques falsos. O ChimeraWire opera em duas cadeias de instalação: a primeira envolve a instalação de um programa que verifica a legitimidade do sistema e, se aprovado, instala um script malicioso. A segunda cadeia utiliza um instalador que simula processos legítimos do Windows, explorando vulnerabilidades para obter acesso ao sistema. Uma vez instalado, o trojan adiciona extensões que burlam CAPTCHAs e se conecta a um servidor de comando, permitindo a manipulação de tráfego falso. Além disso, o malware possui recursos adicionais, como leitura de conteúdo de páginas e captura de tela, que podem ser utilizados pelos operadores. A detecção do ChimeraWire é complicada, pois até o momento, 66 antivírus não conseguiram identificá-lo.

Uma nova ameaça de cibersegurança, identificada como DroidLock, está afetando dispositivos Android na Espanha, sequestrando celulares e espionando usuários através da câmera frontal. Detectado pela empresa Zimperium’s zLabs, o malware se espalha por meio de sites falsos, enganando as vítimas com telas de atualização falsas que as levam a entrar em contato com os hackers. Embora se assemelhe a um ransomware, o DroidLock não criptografa arquivos, mas utiliza permissões do dispositivo para alterar senhas e reconfigurar o aparelho, permitindo controle total aos criminosos. Através de uma tecnologia chamada VNC (Virtual Network Computing), os hackers conseguem acessar remotamente o dispositivo, coletando informações sensíveis, como logins e códigos de autenticação, que são enviadas para servidores controlados por eles. A situação é alarmante, especialmente para empresas, onde um simples clique em um link malicioso pode comprometer dados corporativos e a segurança de informações confidenciais. Especialistas alertam que a natureza agressiva do DroidLock pode causar danos significativos, tornando essencial que usuários e empresas adotem medidas de proteção adequadas.