Cibersegurança

Uma vulnerabilidade crítica de Cross-Site Scripting (XSS) foi identificada nas plataformas Citrix NetScaler ADC e Gateway, afetando milhares de organizações globalmente. Classificada como CVE-2025-12101, essa falha permite que atacantes injetem scripts maliciosos em páginas web servidas por instâncias vulneráveis do NetScaler, possibilitando o sequestro de sessões, roubo de credenciais e a instalação de malware. Pesquisadores de segurança relataram que a vulnerabilidade já está sendo explorada em ataques reais, especialmente em configurações vulneráveis. As versões afetadas incluem NetScaler ADC e Gateway 14.1 anteriores à 14.1-56.73 e 13.1 anteriores à 13.1-60.32, além de variantes FIPS e versões descontinuadas 12.1 e 13.0, que não recebem mais atualizações de segurança. A Cloud Software Group, responsável pela Citrix, recomenda que as organizações realizem a atualização imediata para versões seguras para mitigar os riscos. A vulnerabilidade foi atribuída uma pontuação CVSSv4 de 5.9, considerada de severidade média, mas que pode subestimar o impacto real devido à exploração ativa. A situação exige atenção urgente, especialmente de empresas que utilizam o NetScaler para autenticação e acesso remoto seguro.

Pesquisadores em cibersegurança alertam para uma campanha de spam em larga escala que tem inundado o registro npm com milhares de pacotes falsos desde o início de 2024. Identificada como ‘IndonesianFoods’, essa campanha já publicou cerca de 67.579 pacotes, que se disfarçam como projetos do Next.js. O objetivo principal não é o roubo de dados, mas sim a saturação do registro com pacotes aleatórios. Os pacotes contêm um script JavaScript que permanece inativo até ser executado manualmente pelo usuário, o que dificulta a detecção automática por scanners de segurança. Essa execução manual inicia um ciclo que remove configurações de privacidade e publica novos pacotes a cada 7 a 10 segundos, resultando em um fluxo constante de pacotes indesejados. A campanha, que já dura mais de dois anos, levanta preocupações sobre a segurança da cadeia de suprimentos de software, pois pode levar desenvolvedores a instalar acidentalmente esses pacotes maliciosos. A GitHub já removeu os pacotes identificados e se comprometeu a intensificar a detecção e remoção de conteúdos maliciosos em sua plataforma.

O malware GootLoader, conhecido por suas técnicas de ocultação, voltou a ser uma ameaça ativa, conforme relatado pela empresa de cibersegurança Huntress. Desde o final de outubro, foram identificadas três invasões, com duas delas comprometendo o controlador de domínio em apenas 17 horas após a infecção. O GootLoader utiliza uma abordagem inovadora, explorando os comentários em sites WordPress para entregar arquivos encriptados com chaves únicas, utilizando ofuscamento por meio de fontes WOFF2. Isso permite que o malware se esconda em arquivos que parecem legítimos, enganando os usuários.

O governo do Reino Unido, em colaboração com o National Cyber Security Centre, está investigando a possibilidade de que ônibus elétricos fabricados na China, especificamente pela Yutong, estejam vulneráveis a ataques cibernéticos. A preocupação surgiu após a operadora norueguesa Ruter identificar falhas nos sistemas de bordo dos veículos. A Yutong, que fornece ônibus para diversos países europeus, possui acesso direto aos sistemas digitais dos veículos, permitindo atualizações de software e diagnósticos remotos. Essa situação levanta questões sobre a segurança do transporte público, uma vez que, se exploradas, essas vulnerabilidades poderiam permitir que cibercriminosos desativassem os ônibus remotamente. Apesar das alegações de vulnerabilidade, a Pelican, responsável pela importação dos ônibus, defende que os veículos atendem a rigorosas certificações de segurança. O Departamento de Transportes do Reino Unido está ciente da situação e trabalha para mitigar os riscos. A Ruter também afirmou que pode desconectar a rede elétrica dos ônibus removendo o cartão SIM, garantindo o controle em caso de emergência.

Um novo relatório, o Browser Security Report 2025, revela que a forma como os navegadores são utilizados nas empresas pode ser a principal fonte de ataques cibernéticos. O estudo destaca que vulnerabilidades no navegador, como extensões maliciosas e prompts enganosos, são responsáveis por muitos riscos relacionados à identidade e ao uso de inteligência artificial (IA). Quase metade dos funcionários utiliza ferramentas de IA em contas não monitoradas, aumentando a exposição a ameaças. O relatório aponta que 77% dos casos analisados envolveram cópias de dados em prompts de IA, com 82% ocorrendo em contas pessoais. Além disso, 99% dos usuários utilizam extensões, e 6% delas são consideradas maliciosas. A pesquisa alerta que 60% dos logins corporativos não utilizam autenticação única, dificultando o controle de acesso. Diante desse cenário, é crucial que as empresas adotem medidas de segurança mais rigorosas, como monitoramento de dados copiados e uso de extensões seguras, para evitar vazamentos de informações e ataques cibernéticos.

A equipe de inteligência da Amazon anunciou a descoberta de ataques cibernéticos que exploram vulnerabilidades zero-day em softwares da Cisco e Citrix. As falhas identificadas são a CVE-2025-5777, conhecida como Citrix Bleed 2, e a CVE-2025-20337, que afeta o Mecanismo de Identidade da Cisco. A primeira permite burlar autenticações no NetScaler ADC da Citrix, enquanto a segunda possibilita a execução remota de códigos sem autenticação, comprometendo o sistema operacional. Ambas as vulnerabilidades foram corrigidas em julho de 2025, mas a Amazon identificou que hackers estavam ativamente explorando essas falhas, utilizando um web shell customizado para se infiltrar em sistemas. Este backdoor, disfarçado como um componente legítimo, consegue operar na memória e monitorar requisições HTTP, utilizando técnicas de encriptação para evitar detecção. O Diretor de Segurança da Informação da Amazon, CJ Moses, destacou a necessidade de estratégias de defesa robustas para proteger a infraestrutura crítica de identidade e controle de acesso às redes, evidenciando o alto nível de sofisticação dos atacantes.

Um recente vazamento de dados na empresa de segurança chinesa Knownsec expôs mais de 12.000 documentos classificados que revelam operações de hacking ligadas ao governo chinês. Os arquivos vazados incluem informações sobre ‘armas cibernéticas’, ferramentas internas de inteligência artificial e uma lista extensa de alvos internacionais, abrangendo mais de vinte países, como Japão, Índia e Reino Unido. Entre as informações preocupantes, estão planilhas que detalham ataques a 80 alvos estrangeiros, incluindo empresas de infraestrutura crítica e telecomunicações. O vazamento também revelou dados significativos, como 95GB de registros de imigração da Índia e 3TB de logs de chamadas da LG U Plus da Coreia do Sul. Os especialistas identificaram a presença de Trojans de Acesso Remoto (RATs) que podem comprometer sistemas operacionais populares, além de dispositivos de hacking de hardware utilizados pela Knownsec. Apesar das tentativas do governo chinês de desmentir o incidente, a profundidade da infiltração sugere uma colaboração estreita entre empresas privadas e operações estatais. Este evento destaca a necessidade de uma defesa cibernética mais robusta, que combine monitoramento em tempo real e segmentação de rede.

Pesquisadores identificaram uma nova campanha do MastaStealer que utiliza arquivos de atalho do Windows (LNK) para executar comandos maliciosos em PowerShell e implantar um beacon de comando e controle (C2) em sistemas comprometidos. O ataque começa com um e-mail de spear-phishing que contém um arquivo ZIP com um arquivo .lnk malicioso. Ao ser executado, o atalho abre o Microsoft Edge em um domínio legítimo, anydesk[.]com, enquanto busca silenciosamente um payload secundário de um domínio semelhante, anydesck[.]net. Esse processo resulta no download de um instalador MSI malicioso que estabelece persistência e implanta o payload final. A análise do comportamento foi realizada através dos logs de eventos do Windows Installer, que indicaram falhas de instalação quando executadas sob contas não privilegiadas. O arquivo MSI cria uma pasta temporária e implanta um binário disfarçado de dwm.exe, que atua como beacon C2. Além disso, um comando PowerShell modifica as configurações do Windows Defender, permitindo que o malware opere sem ser detectado. A campanha destaca a eficácia contínua da exploração de arquivos LNK em ataques de engenharia social, exigindo que as organizações adotem medidas de mitigação, como o bloqueio de downloads MSI de fontes não confiáveis e a restrição da execução de arquivos LNK de anexos de e-mail.

Uma nova campanha de phishing, identificada pela Check Point Research, impactou mais de 5 mil empresas que utilizam o Facebook para publicidade. Os cibercriminosos enviaram cerca de 40 mil e-mails contendo links maliciosos, utilizando o domínio oficial da Meta para dar a impressão de legitimidade. A tática visa roubar credenciais e dados sigilosos, afetando especialmente setores como automotivo, educacional, imobiliário, hoteleiro e financeiro. Os e-mails fraudulentos foram elaborados para parecerem notificações reais do Meta Business Suite, o que aumentou a probabilidade de que os funcionários das empresas caíssem no golpe. A engenharia social foi utilizada para criar um senso de urgência, levando as vítimas a agir impulsivamente. A pesquisa destaca a gravidade do problema, pois os ataques foram realizados sob a aparência da própria plataforma da Meta, tornando-os mais perigosos do que tentativas comuns de phishing. Especialistas alertam que a credibilidade do domínio do remetente torna essas tentativas de phishing especialmente preocupantes, exigindo atenção redobrada das empresas.

Em 2025, o Brasil enfrenta um aumento alarmante de ataques digitais, com uma média de 15 incidentes por hora, segundo dados da Check Point Research. O levantamento aponta que, semanalmente, são registrados cerca de 2,6 mil ciberataques a empresas, representando um crescimento de 21% em relação ao ano anterior. Esse cenário se agrava durante períodos sazonais, como a Black Friday e o Natal, quando o comércio eletrônico intensifica suas atividades. Especialistas alertam que, durante essas épocas, as ameaças mais comuns incluem phishing, roubo de credenciais e ransomware, que podem comprometer tanto a operação das empresas quanto a confiança dos consumidores. Para mitigar esses riscos, é essencial que as empresas reforcem suas infraestruturas de segurança, adotando medidas como certificados SSL, autenticação de dois fatores e monitoramento constante de servidores. A proteção dos dados dos consumidores é crucial, especialmente em um ambiente onde fraudes e vazamentos de informações estão em alta. Portanto, a preparação e a vigilância são fundamentais para garantir uma experiência de compra segura durante as promoções de fim de ano.

Uma pesquisa da NordVPN revelou que o preço médio dos cartões de crédito brasileiros roubados na dark web subiu para US$ 10,70 (cerca de R$ 56,81) em 2025, um aumento de 26% em relação a 2023. O estudo analisou 50.705 registros de cartões listados em marketplaces da dark web, destacando que o Brasil se tornou um dos mercados mais procurados por cibercriminosos. O aumento no valor dos cartões pode ser atribuído à dinâmica de oferta e demanda, onde a escassez de informações de qualidade eleva os preços. A pesquisa também identificou que 87% dos cartões permanecem ativos por mais de 12 meses, o que aumenta seu valor comercial. Além disso, o estudo descreveu a cadeia de cibercriminosos envolvidos no processo de ‘carding’, que inclui harvesters, validators e cash-outers. Para se proteger, recomenda-se monitorar extratos bancários, usar senhas fortes e evitar armazenar dados de cartões em navegadores. O relatório alerta para a crescente ameaça de vazamentos de dados, com 300 milhões de registros pessoais já expostos na dark web em 2025.

Cibercriminosos estão aproveitando a angústia emocional de proprietários de iPhones que perderam seus dispositivos. O Centro Nacional de Cibersegurança da Suíça (NCSC) alertou sobre uma campanha de phishing direcionada, onde as vítimas recebem mensagens de texto enganosas afirmando que seu iPhone perdido ou roubado foi localizado no exterior. Essas mensagens parecem legítimas, contendo detalhes precisos do dispositivo, como modelo, cor e capacidade de armazenamento, possivelmente extraídos do próprio telefone roubado.

Pesquisadores de segurança identificaram um aumento nos ataques de coerção de autenticação que exploram os mecanismos de Chamada de Procedimento Remoto (RPC) do Windows. Esses ataques manipulam o comportamento de autenticação de rede embutido no sistema, permitindo que máquinas enviem credenciais para servidores controlados por atacantes, sem a necessidade de interação do usuário ou privilégios administrativos. Ao abusar de funções RPC menos conhecidas, como MS-DFSNM e MS-EVEN, os atacantes conseguem fazer com que ativos valiosos, como Controladores de Domínio e Servidores de Certificado, se autentiquem em servidores maliciosos. Uma vez autenticados, os atacantes capturam hashes NTLM e realizam ataques de retransmissão para se mover lateralmente na rede. Para se defender contra esses ataques, recomenda-se monitorar rigorosamente o tráfego RPC e implementar técnicas de prevenção, como a assinatura SMB e a proteção estendida para autenticação. A evolução desses ataques representa uma nova ameaça que exige visibilidade aprimorada sobre o comportamento do RPC para evitar a extração de credenciais.

Rumores no monitoramento de cibercrime indicam uma interrupção significativa na infraestrutura do Hadamanthys Stealer, um malware que rouba informações. Relatos sugerem que seus domínios onion e painéis de controle estão offline, possivelmente devido a uma operação coordenada de aplicação da lei. Analistas de inteligência de ameaças, como Gi7w0rm e g0njxa, acreditam que a infraestrutura do Hadamanthys pode ter sido apreendida, levando os administradores a aconselharem os usuários a ‘pausar todo o trabalho’ e reinstalar seus servidores. Essa situação é consistente com padrões observados em operações anteriores contra ecossistemas cibercriminosos, onde a inatividade dos domínios e avisos administrativos indicam instabilidade e possíveis compromissos. O Hadamanthys, que se destacou como uma plataforma de Malware-as-a-Service (MaaS) em 2024-2025, permitia que atores de ameaças comprassem e gerenciassem hosts infectados globalmente. A apreensão de sua infraestrutura pode causar um impacto significativo no mercado de infostealers, embora a recuperação parcial ou rebranding sob um novo nome seja uma possibilidade em um futuro próximo.

O Active Directory (AD) é fundamental para a autenticação em mais de 90% das empresas da Fortune 1000, especialmente em ambientes híbridos e na nuvem. Sua complexidade crescente torna-o um alvo atrativo para atacantes, que podem comprometer o AD para obter acesso privilegiado a toda a rede. O ataque à Change Healthcare em 2024 exemplifica os riscos: hackers exploraram a falta de autenticação multifatorial, comprometeram o AD e causaram interrupções significativas nos cuidados com os pacientes, resultando em milhões em resgates. Técnicas comuns de ataque incluem Golden Ticket, DCSync e Kerberoasting, que aproveitam vulnerabilidades como senhas fracas e contas de serviço mal gerenciadas. A fragmentação da segurança entre equipes de nuvem e locais agrava a situação, criando lacunas de visibilidade. Para mitigar esses riscos, é essencial implementar políticas de senhas robustas, gerenciamento de acesso privilegiado e monitoramento contínuo. A segurança do AD deve ser um processo contínuo, com atenção constante às novas vulnerabilidades e técnicas de ataque.

As equipes de segurança enfrentam diariamente o desafio de gerenciar um número excessivo de riscos e alertas, muitas vezes se sentindo sobrecarregadas e sempre um passo atrás. O artigo apresenta a Redução Dinâmica da Superfície de Ataque (DASR), uma abordagem inovadora que promete transformar a defesa cibernética. Ao contrário das ferramentas tradicionais que apenas identificam problemas, o DASR atua em segundo plano, monitorando mudanças arriscadas e fechando vulnerabilidades automaticamente. Isso é crucial em um cenário onde a superfície de ataque está em constante evolução devido a novos aplicativos, sistemas em nuvem e dispositivos remotos. O webinar promovido pela The Hacker News e Bitdefender abordará a eficácia do DASR, destacando como a automação e o contexto podem reduzir riscos em tempo real. Especialistas da Bitdefender compartilharão experiências práticas e mostrarão como o sistema PHASR pode prevenir ataques antes que eles causem danos. Essa abordagem não só promete aliviar a carga das equipes de segurança, mas também oferece uma maneira mais eficiente de proteger as organizações contra ameaças cibernéticas.

A equipe de inteligência de ameaças da Amazon divulgou que um ator de ameaça avançado explorou duas falhas de segurança zero-day em produtos da Cisco e Citrix, visando implantar malware personalizado. As vulnerabilidades identificadas são a CVE-2025-5777, uma falha de validação de entrada no Citrix NetScaler ADC, e a CVE-2025-20337, uma vulnerabilidade de execução remota de código no Cisco Identity Services Engine (ISE). Ambas foram corrigidas em 2025, mas foram ativamente exploradas antes da correção. A exploração da CVE-2025-20337 resultou na implantação de um web shell disfarçado como um componente legítimo do Cisco ISE, evidenciando a sofisticação do ataque. A Amazon descreveu o ator como altamente capacitado, capaz de utilizar múltiplas exploits zero-day, o que ressalta a necessidade de as organizações implementarem estratégias de defesa em profundidade e capacidades robustas de detecção de comportamentos anômalos. O relatório destaca que mesmo sistemas bem configurados podem ser vulneráveis a esses tipos de ataques, enfatizando a importância de limitar o acesso a portais de gerenciamento privilegiados.

A partir de 9 de outubro de 2025, a União Europeia implementará a verificação de pagador (VoP), exigindo que todos os pagamentos em euros passem por uma checagem de nome. Isso significa que o nome do titular da conta deve corresponder ao IBAN antes que o dinheiro seja transferido. Essa medida visa combater fraudes crescentes, como os golpes de pagamento por autorização (APP), que custaram mais de €2,4 bilhões às empresas da UE em 2024. O VoP funcionará como um ‘bouncer’ para pagamentos, alertando sobre discrepâncias antes que os fundos sejam enviados. Embora a medida tenha sido inspirada em um sistema britânico semelhante, sua implementação na UE será obrigatória desde o início, afetando cerca de 3.000 bancos e provedores de serviços de pagamento. As empresas precisarão garantir que seus registros de fornecedores sejam precisos e consistentes para evitar atrasos nas transações. A falta de conscientização sobre o VoP, especialmente entre empresas fora da zona do euro, pode resultar em complicações financeiras significativas.

A migração de dados legados, frequentemente vista como uma tarefa administrativa de TI, precisa ser reavaliada à luz da complexidade crescente dos ambientes de TI modernos. Com mais de 80% dos dados empresariais sendo não estruturados e dispersos em diferentes formatos e tecnologias de armazenamento, as ferramentas tradicionais de migração falham em interpretar esses conjuntos de dados. Isso pode resultar na transferência de informações redundantes ou sensíveis para ambientes inadequados, aumentando riscos e ineficiências. Para uma migração eficaz, as organizações devem primeiro mapear seu patrimônio de dados, entendendo o que é armazenado, como é utilizado e sua relevância. A adoção de ferramentas de gerenciamento de dados inteligentes que utilizam análise de metadados pode facilitar essa tarefa, permitindo decisões estratégicas sobre a retenção, realocação ou exclusão de dados. Além disso, a automação pode reduzir o esforço manual e garantir consistência, transformando a migração em um mecanismo proativo de modernização da infraestrutura. A colaboração entre equipes de TI, conformidade e negócios é essencial para alinhar as decisões de migração com as prioridades organizacionais e regulamentares. Medir o desempenho da migração através de KPIs claros pode ajudar a demonstrar valor e promover melhorias contínuas.

Um ator de ameaça de língua russa lançou uma campanha de phishing em larga escala, utilizando mais de 4.300 domínios registrados desde o início de 2025. O objetivo é fraudar indivíduos que planejam viagens, disfarçando-se como grandes plataformas de hotéis e reservas. A infraestrutura do ataque adota convenções de nomenclatura de domínio consistentes, incorporando palavras-chave como ‘confirmação’, ‘reserva’ e ‘verificação de cartão’, além de referências a hotéis de luxo para aumentar a credibilidade. O kit de phishing é dinâmico, personalizando cada página com base em um identificador único na URL, conhecido como ‘AD_CODE’, que ativa uma marcação em tempo real correspondente ao site falsificado. Os e-mails maliciosos são enviados sob a aparência de solicitações de feedback, levando as vítimas a clicar em links que as redirecionam para sites de phishing. Os domínios são registrados em blocos, utilizando gTLDs como .world e .help, e a campanha se expande com iscas traduzidas em 43 idiomas. A análise do site de phishing revela comentários em russo, ligando a campanha a círculos cibercriminosos de língua russa. A segurança deve monitorar domínios com palavras-chave de viagem e os usuários devem ser cautelosos com confirmações de reservas inesperadas.

Uma nova vulnerabilidade 0-day no Kernel do Windows, identificada como CVE-2025-62215, está sendo ativamente explorada para escalonamento de privilégios. Publicada em 11 de novembro de 2025, a falha é classificada como importante e resulta da execução concorrente de código que utiliza um recurso compartilhado sem a devida sincronização, caracterizando uma condição de corrida. Além disso, a vulnerabilidade envolve gerenciamento inadequado de memória, criando um cenário de ‘double free’ que permite que atacantes escalem privilégios ao serem bem-sucedidos na exploração.

No dia 12 de novembro de 2025, o Google apresentou uma nova tecnologia chamada Private AI Compute, que visa processar consultas de inteligência artificial (IA) em uma plataforma segura na nuvem. A empresa afirma que essa tecnologia desbloqueia a velocidade e o poder dos modelos de nuvem Gemini para experiências de IA, garantindo que os dados pessoais dos usuários permaneçam privados e inacessíveis, nem mesmo ao Google.

O Private AI Compute é descrito como um ’espaço seguro e fortificado’ para o processamento de dados sensíveis, utilizando unidades de processamento de tensor Trillium (TPUs) e enclaves de inteligência Titanium (TIE). Essa infraestrutura é projetada para aproveitar a velocidade computacional da nuvem, mantendo as garantias de segurança e privacidade do processamento local.

Um novo relatório da Cyble Research and Intelligence Labs (CRIL) revela uma campanha de phishing em larga escala que utiliza arquivos HTML com JavaScript embutido para roubar credenciais de usuários. Ao invés de redirecionar as vítimas para URLs maliciosas, os hackers enviam e-mails com anexos que imitam páginas de login da Adobe e Microsoft. Esses arquivos, que aparentam ser comunicações comerciais legítimas, como solicitações de cotações, contêm um prompt central para login que coleta informações de acesso e as envia para bots controlados pelos atacantes via Telegram.

Pesquisadores de cibersegurança identificaram uma nova onda de ataques do grupo APT-C-08, também conhecido como BITTER, que utiliza uma vulnerabilidade de travessia de diretórios no WinRAR (CVE-2025-6218). Este grupo, vinculado a um estado do Sul da Ásia, é conhecido por suas campanhas de espionagem direcionadas a instituições governamentais, de defesa e acadêmicas. A falha, presente nas versões 7.11 e anteriores do WinRAR, permite que atacantes contornem limites normais de diretórios durante a extração de arquivos. Ao manipular caminhos de arquivos, os invasores conseguem extrair arquivos maliciosos em diretórios protegidos do sistema da vítima.

Uma vulnerabilidade crítica no gerenciador de arquivos Monsta FTP foi descoberta pela empresa de cibersegurança watchTowr, permitindo que hackers realizassem uploads de arquivos sem autenticação. Essa falha, identificada como CVE-2025-34299, possibilita a execução de códigos maliciosos em servidores web, afetando tanto usuários privados quanto instituições financeiras. A vulnerabilidade foi encontrada em versões anteriores à 2.10.4 e se mostrou grave, pois permitia que invasores salvassem arquivos em qualquer local do servidor, comprometendo a segurança de aproximadamente 5.000 sessões FTP disponíveis na internet. A Monsta FTP foi notificada em agosto de 2025 e lançou um patch de correção na versão 2.11.3, recomendando que todos os usuários atualizassem imediatamente para evitar invasões. A situação destaca a importância de manter softwares atualizados e a necessidade de vigilância constante em relação a vulnerabilidades conhecidas.

Um relatório da Tenable Research revelou sete falhas de segurança na plataforma ChatGPT da OpenAI, que podem ser exploradas por cibercriminosos para roubar dados dos usuários e até controlar o chatbot. A principal vulnerabilidade identificada é a ‘injeção de prompt’, onde hackers enviam instruções maliciosas ao ChatGPT sem que o usuário perceba. Os especialistas demonstraram duas formas de ataque: a primeira envolve a inserção de um comentário malicioso em um blog, que pode ser ativado quando o usuário pede um resumo ao ChatGPT. A segunda é um ataque de clique zero, onde o hacker cria um site que, ao ser indexado pelo ChatGPT, pode comprometer o usuário sem qualquer interação. Além disso, a falha de ‘injeção de memória’ permite que comandos maliciosos sejam salvos no histórico do usuário, possibilitando o roubo de dados sensíveis em interações futuras. A OpenAI foi notificada sobre essas vulnerabilidades, que afetam os modelos ChatGPT 4o e GPT-5, mas ainda não há informações sobre correções.

O uso de spywares por governos para monitorar indivíduos, como jornalistas e ativistas, tem se tornado uma prática comum em diversas nações. Embora esses softwares sejam frequentemente justificados como ferramentas de combate ao crime e ao terrorismo, evidências apontam que muitos alvos são inocentes. Um exemplo recente é o caso de um consultor político italiano que foi espionado pelo spyware Paragon. Especialistas, como Eva Galperin da Electronic Frontier Foundation, destacam que a facilidade de uso desses softwares permite abusos, uma vez que agentes governamentais podem simplesmente inserir um número de telefone e iniciar a vigilância. Países como Arábia Saudita, Emirados Árabes Unidos, Itália e Marrocos têm sido citados por direcionar suas ferramentas de espionagem contra jornalistas e opositores. Apesar de alguns avanços, como a Paragon rompendo laços com o governo italiano, a falta de regulamentação e transparência continua a ser um desafio. A situação exige uma abordagem global para mitigar os riscos associados ao uso de spywares, especialmente em contextos onde os direitos humanos são frequentemente violados.

A Microsoft anunciou a descoberta de um novo tipo de ataque cibernético denominado ‘Whisper Leak’, que consegue expor os tópicos discutidos em chats com chatbots de IA, mesmo quando as conversas estão totalmente criptografadas. A pesquisa da empresa indica que atacantes podem analisar o tamanho e o tempo dos pacotes criptografados trocados entre um usuário e um modelo de linguagem, permitindo inferir o conteúdo das discussões. Embora a criptografia proteja o conteúdo das mensagens, a vulnerabilidade reside na forma como os modelos de linguagem enviam respostas, transmitindo dados de forma incremental. Isso cria padrões que podem ser analisados por invasores, permitindo deduzir informações sensíveis. Após a divulgação, empresas como OpenAI e Mistral implementaram medidas para mitigar o problema, como a adição de sequências de texto aleatórias nas respostas. A Microsoft recomenda que os usuários evitem discutir assuntos sensíveis em redes Wi-Fi públicas e utilizem VPNs. Além disso, a pesquisa destaca que muitos modelos de linguagem abertos ainda são vulneráveis a manipulações, especialmente em conversas mais longas, levantando preocupações sobre a segurança das plataformas de chat de IA.

Golpistas estão aproveitando a esperança de usuários de iPhone que perderam seus dispositivos, enviando mensagens de phishing que se disfarçam como notificações do serviço ‘Find My’ da Apple. Essas mensagens afirmam que o iPhone perdido foi encontrado, levando as vítimas a um site falso que coleta credenciais do Apple ID. O golpe é sofisticado, utilizando detalhes precisos sobre o dispositivo, como modelo e cor, para parecer legítimo. A Swiss National Cyber Security Centre (NCSC) alerta que essa prática não só visa roubar informações pessoais, mas também remover o bloqueio de ativação do aparelho, permitindo que os golpistas revendam o dispositivo. A Apple já informou que nunca entra em contato por SMS ou e-mail para relatar a localização de um dispositivo perdido. Para se proteger, os usuários devem ativar o Modo Perdido pelo iCloud, manter seus cartões SIM seguros e evitar expor informações pessoais na tela de bloqueio. O uso de software antivírus e a ativação de firewalls também são recomendados para reduzir a exposição a ameaças online.

O Habib Bank AG Zurich anunciou hoje que detectou acesso não autorizado à sua rede corporativa. Em 5 de novembro de 2025, o grupo de ransomware Qilin listou o banco em seu site de vazamento de dados, alegando ter roubado 2,56 TB de informações. Apesar da gravidade da situação, o banco afirmou que seus serviços bancários permanecem operacionais e que até o momento não foi identificado acesso persistente. A instituição não confirmou se pagou resgate ou como os atacantes conseguiram invadir sua rede. A equipe do banco, apoiada por especialistas em cibersegurança, está trabalhando para avaliar e mitigar o impacto do incidente. O grupo Qilin, baseado na Rússia, é conhecido por realizar ataques por meio de e-mails de phishing e já reivindicou 792 ataques de ransomware em 2025, afetando principalmente o setor financeiro. O aumento de ataques a instituições financeiras levanta preocupações sobre a segurança de dados e a conformidade com a LGPD no Brasil, uma vez que o setor bancário é um alvo frequente de cibercriminosos.

Pesquisadores de segurança cibernética descobriram semelhanças entre um malware bancário chamado Coyote e um novo programa malicioso denominado Maverick, que está sendo disseminado via WhatsApp. Ambos os malwares, escritos em .NET, têm como alvo usuários e instituições financeiras no Brasil, apresentando funcionalidades semelhantes, como a capacidade de monitorar aplicativos bancários e se propagar através do WhatsApp Web. O Maverick, documentado pela Trend Micro, é atribuído a um ator de ameaças conhecido como Water Saci e utiliza um malware auto-propagante chamado SORVEPOTEL, que entrega um arquivo ZIP contendo o payload do Maverick. Este malware monitora abas de navegador em busca de URLs de instituições financeiras e pode coletar informações do sistema e exibir páginas de phishing para roubo de credenciais. A Sophos levantou a possibilidade de que Maverick seja uma evolução do Coyote, e a Kaspersky confirmou sobreposições de código entre os dois. A campanha também se destaca por sua capacidade de contornar a autenticação do WhatsApp Web, permitindo acesso imediato às contas dos usuários. Com mais de 148 milhões de usuários ativos no Brasil, a popularidade do WhatsApp torna essa ameaça particularmente preocupante.

Uma nova campanha de phishing está afetando usuários do Booking.com e de hotéis parceiros, com criminosos comprometendo sistemas para roubar dados sensíveis. Desde abril de 2025, e-mails fraudulentos têm sido enviados, contendo links maliciosos que imitam a interface do Booking. Ao clicar, as vítimas são levadas a uma página falsa que solicita uma verificação bancária, resultando na instalação do trojan PureRAT, que permite controle remoto do dispositivo. Os hackers inicialmente visam funcionários dos hotéis para obter credenciais de login, expandindo o ataque para serviços como Airbnb e Expedia. Relatos de vítimas indicam que, além do pagamento oficial, muitos foram forçados a realizar um segundo pagamento para os criminosos. As credenciais roubadas também estão sendo vendidas em fóruns de crimes digitais, aumentando o risco de fraudes. Especialistas alertam para a gravidade da situação, que não só compromete dados pessoais, mas também pode impactar a conformidade com a LGPD.

Uma vulnerabilidade zero-day na biblioteca de processamento de imagem do sistema Android da Samsung permitiu que hackers instalassem spywares em celulares da linha Galaxy, especialmente no Oriente Médio. O malware, denominado Landfall, foi identificado pela Unit 42 da Palo Alto Networks e é capaz de gravar conversas, monitorar a localização, tirar fotos e roubar contatos. A falha, classificada como CVE-2025-21042, foi explorada entre meados de 2024 e abril de 2025, quando a Samsung lançou um patch para corrigir o problema. O spyware era disseminado através de negativos digitais (DNG) enviados pelo WhatsApp, atingindo principalmente usuários no Iraque, Irã, Marrocos e Turquia. A descoberta do Landfall sugere uma possível coordenação com ataques semelhantes em dispositivos iOS, indicando que agentes privados ou governamentais podem estar por trás das atividades maliciosas. A situação é alarmante, pois o malware é otimizado para dispositivos de alta gama da Samsung, como os modelos Galaxy S22, S23 e S24, e possui capacidades avançadas de reconhecimento e evasão.

A Polícia Federal (PF) do Brasil requisitou a extradição de oito indivíduos presos no exterior, envolvidos em um ciberataque que resultou no desvio de R$ 813 milhões através do sistema de pagamentos Pix. O ataque, que teve início em julho, foi direcionado à empresa C&M Software, responsável por serviços tecnológicos para instituições financeiras. A operação, denominada Magna Fraus, culminou na prisão de 21 pessoas, sendo que 13 foram detidas no Brasil e 8 no exterior, com a colaboração da Interpol. Os criminosos utilizaram técnicas avançadas para contornar os sistemas de segurança, dificultando o rastreamento das transações fraudulentas. Além das prisões, a PF apreendeu 15 veículos de luxo e bloqueou 26 imóveis, além de encontrar mais de R$ 1 milhão em criptomoedas. As autoridades consideram essa operação um marco no combate ao crime cibernético no Brasil, dada a magnitude do impacto no sistema de pagamentos instantâneos do país.

O grupo de hackers chinês FamousSparrow, conhecido por suas atividades de ciberespionagem, está de volta com novas ameaças, visando a América Latina. Após um período de inatividade entre 2022 e 2024, o grupo executou três ataques distintos em 2024, atingindo uma associação comercial nos EUA, um instituto de pesquisa no México e uma instituição governamental em Honduras. Os ataques têm como objetivo a distribuição de dois backdoors, SparrowDoor e ShadowPad, que representam um avanço em relação às versões anteriores, permitindo a paralelização de comandos. Os ataques foram realizados através da inserção de um web shell em servidores do Internet Information Services (IIS) da Microsoft, explorando versões desatualizadas do Windows Server e do Microsoft Exchange Server. O FamousSparrow, que ganhou notoriedade em 2021, é conhecido por desenvolver suas próprias ferramentas de ataque e por roubar informações confidenciais de diversas instituições. A descoberta de suas atividades renovadas levanta preocupações sobre a segurança de dados sensíveis em um contexto global cada vez mais vulnerável.

O governo do Reino Unido está considerando a implementação de uma proibição de pagamentos de resgates em casos de ransomware, visando proteger entidades públicas e infraestrutura crítica, como o NHS e escolas. A proposta inclui um regime de notificação obrigatória para empresas privadas que optarem por pagar resgates, com o objetivo de desestimular os ataques cibernéticos. No entanto, há preocupações de que essa medida possa redirecionar os ataques para o setor privado, aumentando a vulnerabilidade de pequenas e médias empresas, varejistas e organizações sem fins lucrativos. Uma pesquisa revelou que 75% dos líderes empresariais no Reino Unido admitiriam pagar um resgate, mesmo com a proibição, se isso significasse a sobrevivência da empresa. A proposta também levanta questões éticas e legais, já que o pagamento de resgates pode ser considerado crime. Para mitigar esses riscos, as empresas devem adotar um modelo de ’empresa mínima viável’ (MVC), focando na continuidade das operações essenciais durante um ataque cibernético e investindo em mecanismos avançados de proteção de dados. A preparação para um cenário de ataque é crucial, uma vez que o pagamento de resgates não garante a recuperação dos dados e pode aumentar a probabilidade de novos ataques.

O recente roubo no Museu do Louvre expôs falhas de segurança digital em instituições culturais, revelando que a senha do sistema de câmeras de vigilância era simplesmente ’louvre’. Essa vulnerabilidade, já sinalizada por especialistas em segurança, gerou preocupações sobre a proteção do patrimônio cultural. Em resposta, a empresa suíça Proton anunciou que fornecerá gratuitamente por dois anos seu serviço Proton Pass Professional para museus, bibliotecas e galerias em todo o mundo. O Proton Pass é um gerenciador de senhas que ajuda a criar e gerenciar senhas fortes, além de monitorar possíveis vazamentos de dados. A iniciativa visa fortalecer a segurança digital dessas instituições, que frequentemente investem em segurança física, mas negligenciam a proteção de suas infraestruturas digitais. A oferta, válida até o final de 2025, é um chamado para que o setor cultural priorize a segurança digital com a mesma seriedade que aplica à proteção de suas coleções físicas.

O grupo de ciberespionagem conhecido como Ferocious Kitten tem atuado de forma encoberta desde 2015, focando em dissidentes e ativistas persas no Irã. Recentemente, o grupo ganhou destaque por utilizar uma ferramenta de vigilância chamada MarkiRAT, que é distribuída através de e-mails de spearphishing contendo documentos maliciosos do Microsoft Office. Esses documentos exploram vulnerabilidades, como a CVE-2021-40444, para implantar o malware. Uma vez ativo, o MarkiRAT registra teclas digitadas, captura dados da área de transferência, realiza buscas em arquivos e rouba credenciais, especialmente de arquivos KeePass. O malware se destaca por suas táticas de persistência, se infiltrando em aplicativos legítimos como Telegram e Chrome, garantindo que o software malicioso seja executado sempre que o usuário inicia esses programas. Além disso, utiliza técnicas de engenharia social para disfarçar arquivos executáveis como imagens ou vídeos, dificultando a detecção. O Ferocious Kitten demonstra agilidade operacional, adaptando-se rapidamente e priorizando a coleta de dados em vez de ataques disruptivos. Organizações são aconselhadas a testar suas defesas contra as táticas em evolução desse grupo, especialmente em plataformas de simulação de segurança.

Um novo trojan de acesso remoto para Android (RAT) chamado KomeX foi identificado em fóruns de cibercrime, sendo promovido por um ator de ameaças conhecido como Gendirector. Baseado no código BTMOB, o KomeX é oferecido em diferentes pacotes de assinatura, refletindo a evolução do malware móvel em um mercado subterrâneo orientado por serviços. O malware promete controle total do dispositivo infectado, permitindo a execução de funções como ativação de câmera e microfone, interceptação de SMS, acesso a arquivos e rastreamento de geolocalização. Um dos recursos mais destacados é a capacidade de transmitir a tela do dispositivo infectado em tempo real, com até 60 quadros por segundo. O KomeX é comercializado em três níveis de assinatura: $500 por um mês, $1.200 por acesso vitalício e $3.000 pelo código-fonte completo. Essa estrutura de preços sugere que o desenvolvedor visa não apenas operadores de cibercrime, mas também outros atores que desejam rebrandear ou expandir a funcionalidade do RAT. Especialistas em segurança alertam que, se operacional, o KomeX pode ampliar significativamente o alcance de campanhas de espionagem móvel, recomendando que os usuários evitem a instalação de aplicativos de fontes não verificadas e mantenham atualizações de segurança regulares.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan de acesso remoto para Android, chamado Fantasy Hub, que está sendo comercializado em canais de Telegram de língua russa sob um modelo de Malware-as-a-Service (MaaS). O malware permite controle total do dispositivo e espionagem, coletando mensagens SMS, contatos, registros de chamadas, imagens e vídeos, além de interceptar e manipular notificações. O Fantasy Hub é projetado para facilitar a vida de atacantes iniciantes, oferecendo documentação e um modelo de assinatura gerido por bot. O preço varia de $200 por semana a $4,500 por ano. O trojan se disfarça como uma atualização do Google Play e abusa de permissões padrão de SMS para obter acesso a dados sensíveis. A ameaça é particularmente preocupante para empresas que adotam o modelo BYOD (Bring Your Own Device) e para usuários de aplicativos bancários. A Zscaler revelou um aumento de 67% nas transações de malware Android, destacando a crescente sofisticação de trojans bancários e spyware. O Fantasy Hub representa uma nova geração de malware que combina técnicas de engenharia social com funcionalidades avançadas, como streaming em tempo real de câmera e microfone.

Pesquisadores de cibersegurança descobriram um pacote npm malicioso chamado “@acitons/artifact”, que faz typosquatting do legítimo “@actions/artifact”. O objetivo é comprometer repositórios pertencentes ao GitHub. A análise da Veracode revelou que seis versões do pacote, de 4.0.12 a 4.0.17, continham um script pós-instalação que baixava e executava malware. Embora a versão mais recente disponível no npm seja 4.0.10, o autor do pacote, identificado como blakesdev, removeu as versões comprometidas. O pacote foi carregado em 29 de outubro de 2025 e acumulou 31.398 downloads semanais, totalizando 47.405 downloads. Além disso, foi identificado outro pacote malicioso, “8jfiesaf83”, que também foi removido, mas teve 1.016 downloads. O script pós-instalação do pacote malicioso baixa um binário chamado “harness” de uma conta do GitHub que foi excluída, e executa um arquivo JavaScript que verifica variáveis do GitHub Actions, exfiltrando dados para um arquivo de texto em um subdomínio do GitHub. A Veracode classificou o ataque como direcionado, focando em repositórios do GitHub e uma conta de usuário sem atividade pública, possivelmente para testes.

Os ataques de cadeia de suprimentos habilitados por inteligência artificial (IA) cresceram 156% no último ano, evidenciando a falência das defesas tradicionais. O malware gerado por IA apresenta características inovadoras, como ser polimórfico, consciente do contexto e camuflado semanticamente, o que dificulta sua detecção. Casos reais, como a violação da 3CX que afetou 600 mil empresas, demonstram a gravidade da situação. O tempo médio para identificar uma violação aumentou para 276 dias, e as ferramentas de segurança tradicionais falham em responder a ameaças que se adaptam ativamente. Novas estratégias de defesa estão sendo implementadas, incluindo a segurança ciente de IA e a análise de comportamento. Além disso, a conformidade regulatória, como a Lei de IA da UE, impõe penalidades severas por violações. A situação exige ação imediata das organizações para se protegerem contra essas ameaças emergentes.

O malware GootLoader voltou a ser uma ameaça significativa, conforme relatado pela Huntress. Desde 27 de outubro de 2025, foram observadas três infecções, com duas delas resultando em invasões diretas e comprometimento de controladores de domínio em menos de 17 horas após a infecção inicial. A nova versão do GootLoader utiliza fontes WOFF2 personalizadas para ofuscar nomes de arquivos, dificultando a análise estática. O malware explora endpoints de comentários do WordPress para entregar cargas úteis em arquivos ZIP criptografados com XOR, cada um com chaves únicas. Além disso, a técnica de modificação do arquivo ZIP permite que ele se apresente como um arquivo .TXT inofensivo em ferramentas de análise, enquanto na verdade contém um arquivo JavaScript malicioso. O payload JavaScript é projetado para implantar um backdoor chamado Supper, que permite controle remoto e proxy SOCKS5. O uso de anúncios do Google para direcionar vítimas em busca de modelos legais para sites WordPress comprometidos também foi uma tática observada. A evolução do GootLoader demonstra que os atores de ameaças não precisam de exploits sofisticados, mas sim de ferramentas bem ofuscadas que atendem a seus objetivos.

O FBI prendeu três especialistas em cibersegurança acusados de realizar ataques de ransomware enquanto trabalhavam para a DigitalMint, uma empresa de Chicago que negocia resgates de ransomware. Os acusados, Kevin Tyler Martin, Ryan Clifford Goldberg e um terceiro não identificado, teriam iniciado suas atividades criminosas em maio de 2023, utilizando software malicioso para extorquir empresas, incluindo uma instituição médica na Flórida, que foi ameaçada a pagar US$ 10 milhões. Embora o grupo tenha conseguido roubar US$ 1,2 milhão, a investigação revelou que eles estavam por trás de vários ataques, incluindo tentativas contra uma empresa farmacêutica e um consultório médico na Califórnia. A DigitalMint afirmou estar cooperando com as investigações e demitiu os funcionários envolvidos por conduta não autorizada. As acusações incluem conspiração para interferir no comércio interestadual e dano intencional a computadores protegidos, destacando a gravidade da situação e a necessidade de vigilância constante no setor de cibersegurança.

Pesquisadores de cibersegurança da Mandiant descobriram uma vulnerabilidade crítica de zero-day na plataforma de compartilhamento de arquivos Triofox, da Gladinet, identificada como CVE-2025-12480. Desde 24 de agosto de 2025, o grupo de ameaças UNC6485 tem explorado essa falha para contornar controles de autenticação e executar códigos maliciosos com acesso em nível de sistema. O ataque ocorre em duas etapas: inicialmente, os invasores manipulam os cabeçalhos HTTP para se apresentarem como ’localhost’, permitindo acesso não autorizado a páginas de configuração restritas. A vulnerabilidade reside na função CanRunCriticalPage(), que não valida corretamente a origem das requisições. Após obter acesso, os atacantes criam uma conta de administrador e exploram uma segunda fraqueza no antivírus embutido do Triofox, redirecionando o caminho do scanner para um script malicioso. Isso resulta na execução automática do payload malicioso com privilégios de conta SYSTEM. A Mandiant identificou a intrusão em apenas 16 minutos, alertando para a necessidade de atualização imediata para a versão 16.7.10368.56560 ou posterior. As equipes de segurança devem auditar contas de administrador e monitorar tráfego SSH incomum para detectar compromissos em andamento.

Uma investigação de segurança revelou que 65% das 50 principais empresas de inteligência artificial (IA) do mundo, avaliadas em mais de 400 bilhões de dólares, expuseram credenciais sensíveis no GitHub. Essas exposições incluem chaves de API e tokens de autenticação, que podem permitir acesso direto aos sistemas das empresas. Os pesquisadores descobriram que os segredos não estavam apenas em repositórios ativos, mas também em forks deletados e contas pessoais de desenvolvedores. A pesquisa destacou que, embora algumas empresas como LangChain e ElevenLabs tenham rapidamente corrigido as vulnerabilidades, quase metade dos vazamentos não recebeu resposta. Para mitigar esses riscos, recomenda-se que as empresas implementem varreduras obrigatórias de segredos em todos os repositórios públicos e estabeleçam canais de divulgação de segurança desde o início. O gerenciamento eficaz de segredos é crucial para proteger os ativos valiosos das empresas de IA e garantir a continuidade da inovação no setor.

Pesquisadores da CyberProof e outras equipes de segurança revelaram uma onda de ataques que se espalham pelo WhatsApp, mostrando conexões operacionais e técnicas entre os trojans bancários Maverick e Coyote. Essas campanhas visam principalmente usuários brasileiros, utilizando comunicações legítimas para induzir as vítimas a baixar arquivos ZIP maliciosos. Um exemplo é o arquivo NEW-20251001_152441-PED_561BCF01.zip, que disfarça um atalho como PDF, mas executa uma sequência de comandos ofuscados.

Após a abertura do arquivo, um script PowerShell é ativado, que baixa um segundo payload em .NET, realizando verificações para evitar ambientes de análise. O malware se conecta a servidores de comando e controle, permitindo o roubo de dados e a hijack de sessões do WhatsApp Web. A persistência é garantida através da criação de arquivos em diretórios de inicialização, assegurando a reinfecção após reinicializações.

O malware ClickFix evoluiu e agora utiliza vídeos tutoriais para auxiliar os usuários no processo de infecção, aumentando a eficácia de ataques baseados em engenharia social. Pesquisadores da Push Security identificaram que o malware consegue detectar o sistema operacional da vítima e apresenta um contador que pressiona o usuário a agir rapidamente. A infecção geralmente promete soluções para problemas de computador ou falsas verificações de identidade, mas resulta na instalação de malwares, como ladrões de informação. A nova versão do ClickFix é capaz de esconder comandos maliciosos e copiá-los automaticamente para a Área de Transferência da vítima, reduzindo as chances de erro humano. Além disso, a campanha utiliza páginas falsas de verificação de CAPTCHA e malvertising em pesquisas Google para disseminar o malware. A evolução do ClickFix representa um risco significativo, pois pode escapar de proteções antivírus tradicionais, funcionando totalmente no navegador. Especialistas alertam que a ameaça pode se expandir para outros sistemas operacionais, como Linux e macOS, aumentando a necessidade de vigilância e proteção.

Especialistas em cibersegurança alertam para um aumento significativo de ataques de phishing direcionados a usuários das agendas do Google Workspace e Microsoft 365. Esses ataques, conhecidos como ICS phishing, utilizam convites falsos para eventos de calendário, que podem contornar as medidas de segurança das empresas. Mesmo que um e-mail com o convite seja colocado em quarentena, o evento ainda aparece na agenda do usuário, aumentando o risco de cliques em links maliciosos. Os cibercriminosos utilizam táticas como anexar QR Codes que redirecionam para malwares ou solicitar que a vítima ligue para números de telefone suspeitos. Para proteger suas contas, recomenda-se que os usuários ajustem as configurações de segurança de suas agendas, como permitir apenas convites de remetentes conhecidos e ativar a autenticação de dois fatores. A situação é preocupante, pois a visibilidade dos convites maliciosos na agenda pode levar a infecções de malware e roubo de credenciais.

O relatório de tendências de ameaças por e-mail do terceiro trimestre de 2025 da VIPRE revela um aumento alarmante de 13% nos e-mails maliciosos detectados em relação ao ano anterior. Analisando 1,8 bilhão de e-mails, os pesquisadores identificaram mais de 234 milhões de mensagens de spam, com 26 milhões sendo ativamente prejudiciais. As campanhas de coleta de credenciais e táticas avançadas de engenharia social foram os principais responsáveis por esse crescimento. O relatório destaca que o Outlook e o Gmail são os principais alvos, com mais de 90% das campanhas de phishing focadas nessas plataformas. Os atacantes utilizam links maliciosos em 65% dos casos, enquanto 31% envolvem anexos, principalmente PDFs. A engenharia social, especialmente a impersonificação de executivos, é uma tática comum, com 63% das tentativas de comprometimento de e-mail empresarial (BEC) focadas em CEOs. O uso de e-mails gerados por IA também aumentou, representando 57% das amostras de BEC. O relatório conclui que as defesas tradicionais não são mais suficientes, e as organizações devem investir em análise comportamental avançada e detecção baseada em IA para se proteger contra essas ameaças em evolução.