Cibersegurança

Uma operação conjunta da Polícia Civil do Distrito Federal e de São Paulo resultou na prisão de seis pessoas envolvidas no golpe do ‘falso advogado’, que já causou um prejuízo superior a R$ 8 milhões a cerca de 100 vítimas em diferentes estados brasileiros, incluindo São Paulo, Brasília e Minas Gerais. O golpe consiste na abordagem de criminosos que se passam por advogados, alegando que a vítima ganhou uma ação judicial e solicitando transferências bancárias urgentes para cobrir custos fictícios. A investigação, que durou seis meses, revelou que a quadrilha utilizava ferramentas tecnológicas para selecionar alvos e aplicar suas fraudes. Além disso, a Ordem dos Advogados do Brasil (OAB-RJ) entrou com uma ação civil contra a Meta, responsável pelo WhatsApp, devido a falhas na desativação de contas, que permitem que criminosos continuem utilizando perfis mesmo após o cancelamento do número. Para evitar cair nesse tipo de golpe, especialistas recomendam desconfiar de mensagens urgentes e verificar informações diretamente com órgãos oficiais antes de realizar qualquer pagamento.

Uma investigação recente revelou uma campanha cibernética que explora extensões maliciosas do Visual Studio Code (VS Code) para disseminar ransomware, utilizando repositórios do GitHub como parte de sua infraestrutura de comando e controle (C2). Os pesquisadores identificaram várias extensões no Marketplace do Visual Studio que continham cargas ocultas disfarçadas de utilitários legítimos para desenvolvedores. Após a instalação, esses pacotes executavam JavaScript ofuscado que lançava comandos do PowerShell. Os scripts maliciosos recuperavam cargas secundárias de repositórios do GitHub sob contas aparentemente benignas.

Uma nova variante de ransomware, chamada Midnight, tem chamado a atenção da comunidade de segurança cibernética devido às suas vulnerabilidades. Identificada por pesquisadores da Gen, essa variante é semelhante ao ransomware Babuk, que se destacou em 2021. Midnight utiliza o cifrador de fluxo ChaCha20 para criptografar dados e RSA para proteger as chaves de criptografia, mas apresenta falhas que permitem a recuperação gratuita de arquivos. O ransomware normalmente adiciona as extensões ‘.Midnight’ ou ‘.endpoint’ aos arquivos comprometidos e impede a execução simultânea de múltiplas instâncias do processo de criptografia. Pesquisadores conseguiram explorar as fraquezas do Midnight, permitindo a recuperação de dados sem pagamento de resgate. Especialistas de segurança, como os da Avast e Norton, disponibilizaram um decryptor funcional que pode ser utilizado por vítimas, recomendando que o programa seja executado com privilégios administrativos. Apesar das falhas, a variante Midnight destaca uma tendência crescente entre desenvolvedores de ransomware em iterar sobre códigos vazados, como o do Babuk. Organizações são aconselhadas a manter backups offline e monitorar logs de sistema em busca de indicadores associados ao Midnight.

Um relatório da ESET revelou um aumento alarmante nas operações cibernéticas destrutivas contra a infraestrutura ucraniana, atribuídas ao grupo Sandworm, alinhado à Rússia. A campanha, que ocorreu entre abril e setembro de 2025, utilizou novas famílias de malware wiper, ZEROLOT e Sting, projetadas para causar interrupções em setores críticos como energia, logística e agricultura. Esses malwares sobrescrevem arquivos de sistema e dados, tornando as máquinas infectadas completamente inoperáveis. Os ataques foram frequentemente realizados através de anexos de spearphishing disfarçados de documentos financeiros legítimos, explorando canais de comunicação confiáveis entre parceiros da cadeia de suprimentos. A análise da ESET sugere que o objetivo principal era desestabilizar as exportações de grãos e a logística energética da Ucrânia, coincidindo com eventos de escalada regional. Além disso, a ESET observou uma colaboração entre diferentes grupos APT russos, indicando uma evolução preocupante na estratégia cibernética da Rússia, que agora combina espionagem com sabotagem econômica. As campanhas de Sandworm foram detectadas e mitigadas pela ESET em sua base de clientes, destacando a necessidade de vigilância contínua e medidas de proteção em resposta a essas ameaças.

Pesquisadores da Equipe de Detecção e Resposta (DART) da Microsoft identificaram um novo malware chamado SesameOp, que utiliza a API Assistants da OpenAI como centro de comando e controle. Este malware foi detectado após uma série de ataques em julho de 2025 e é capaz de permanecer ativo em sistemas invadidos por meses, utilizando serviços em nuvem para comunicação. Os hackers enviam comandos criptografados à API, que os repassa ao malware, que por sua vez criptografa os dados roubados e os envia de volta. O SesameOp se destaca por não explorar vulnerabilidades da plataforma da OpenAI, mas sim por abusar de funcionalidades existentes. O malware é implementado através de um loader ofuscado e backdoor baseado em .NET, utilizando ferramentas do Microsoft Visual Studio para injeção. A Microsoft e a OpenAI estão colaborando nas investigações, que já resultaram na desativação de contas e chaves de API associadas aos cibercriminosos. Para mitigar riscos, recomenda-se que empresas auditem seus registros de firewall e monitorem atividades não autorizadas.

Uma falha crítica foi identificada no tema JobMonster do WordPress, que afeta mais de 5.500 sites. A vulnerabilidade, classificada como CVE-2025-5397, possui uma pontuação de gravidade de 9.8 e permite que hackers acessem contas de administrador sem a devida autenticação. A falha se torna explorável quando a função de login social está ativada, permitindo que invasores se façam passar por usuários legítimos. Para mitigar os riscos, é recomendado que os administradores atualizem imediatamente para a versão 4.8.2 do tema ou desativem a função de login social. Além disso, a autenticação em dois fatores e a troca de senhas são medidas essenciais para aumentar a segurança. A Wordfence, empresa de segurança, já registrou uma onda de ataques utilizando essa vulnerabilidade, o que destaca a necessidade urgente de ações corretivas. O WordPress tem enfrentado um aumento nas tentativas de exploração de suas vulnerabilidades, o que torna a situação ainda mais crítica para os usuários da plataforma.

A Amazon anunciou que começará a bloquear aplicativos instalados ilegalmente no Fire TV Stick, uma medida que visa combater a pirataria e proteger os usuários de ameaças digitais. O bloqueio será implementado inicialmente na Alemanha e na França, com planos de expansão global. A empresa justificou a ação como parte de um esforço contínuo para apoiar criadores de conteúdo e proteger consumidores, uma vez que aplicativos piratas podem ser fontes de malware e fraudes. Os usuários que tentarem acessar esses aplicativos receberão um alerta informando que o acesso não é permitido, seguido pelo bloqueio do aplicativo. A Amazon não especificou quais aplicativos serão afetados, mas garantiu que serviços legítimos como Netflix e Prime Video continuarão funcionando normalmente. Essa iniciativa também está alinhada com um acordo antipirataria da Alliance for Creativity and Entertainment (ACE). Além de combater a pirataria, a medida busca mitigar riscos de ciberataques, já que aplicativos não verificados podem facilitar o acesso de cibercriminosos aos dispositivos dos usuários.

Pesquisadores da Palo Alto Networks, através da Unidade 42, identificaram uma nova família de malware chamada Airstalk, que parece estar ligada a uma operação de um suposto estado-nação, classificada como CL-STA-1009. O malware, desenvolvido em PowerShell e .NET, foi utilizado em um ataque de cadeia de suprimentos, visando provedores de terceirização de processos de negócios (BPO) e serviços gerenciados. Airstalk explora a API de Gerenciamento de Dispositivos Móveis (MDM) do VMware AirWatch (atualmente Workspace ONE UEM) para estabelecer comunicações de comando e controle (C2) de forma discreta. Ao abusar de pontos finais legítimos do AirWatch, o malware consegue evitar a detecção e se camuflar no tráfego empresarial confiável. A variante em PowerShell utiliza atributos de dispositivos personalizados para trocar mensagens C2 criptografadas, enquanto a versão em .NET apresenta funcionalidades mais avançadas, como suporte a navegadores adicionais e múltiplas threads para tarefas de C2. Ambas as versões demonstram um design modular e em desenvolvimento contínuo, com a assinatura de um certificado digital possivelmente roubado, indicando características de operações de ameaças persistentes avançadas. A análise sugere que a campanha representa um risco significativo, especialmente para provedores de serviços terceirizados, que são vistos como alvos valiosos para compromissos de cadeia de suprimentos.

Em um ataque significativo ao ecossistema DeFi, a Check Point Research revelou que contratos do ComposableStablePool da Balancer V2 foram explorados em 3 de novembro de 2025, resultando no roubo de $128,64 milhões em menos de 30 minutos. Os atacantes aproveitaram uma falha sutil de precisão aritmética na lógica de invariantes da pool da Balancer, transformando um erro de arredondamento em uma cadeia de exploração catastrófica que contornou mecanismos de segurança padrão. A vulnerabilidade originou-se na função _upscaleArray, que escalava saldos de tokens durante o cálculo de invariantes. Ao manipular os saldos para a faixa microscópica de 8-9 wei, a lógica de divisão inteira do Solidity causou discrepâncias de arredondamento que poderiam chegar a dez por cento por operação. O ataque foi realizado em uma sequência de 65 operações de batchSwap, amplificando perdas de precisão em uma distorção total do valor D da pool. A análise on-chain vinculou a exploração a um contrato específico, e os atacantes conseguiram acumular ativos roubados dentro da camada de contabilidade do Vault da Balancer. Apesar de múltiplas auditorias, a falha sobreviveu devido ao foco da análise em transações únicas, em vez de desvios aritméticos cumulativos. Este evento destaca a importância da modelagem adversarial e do monitoramento contínuo de invariantes nas bibliotecas matemáticas do DeFi.

Recentemente, foram descobertas falhas críticas de execução remota de código na aplicação Claude Desktop, desenvolvida pela Anthropic, uma das principais empresas de inteligência artificial. Três extensões oficiais da plataforma, que somam mais de 350.000 downloads, apresentavam vulnerabilidades que permitiam ataques de injeção de comandos. Essas falhas poderiam ser exploradas durante interações normais com o Claude, permitindo que um simples questionamento do usuário resultasse em comprometimento total do sistema. A vulnerabilidade, classificada com um CVSS de 8.9, se origina de comandos não sanitizados, um erro de segurança conhecido há décadas. As extensões afetadas, que operam com permissões completas do sistema, não validavam a entrada do usuário, permitindo que códigos maliciosos fossem injetados. Embora a Anthropic tenha lançado patches para corrigir as falhas, a situação levanta preocupações sobre a segurança do ecossistema de extensões MCP, que está em rápida expansão. A falta de revisão de segurança em extensões criadas por desenvolvedores independentes, muitas vezes utilizando codificação assistida por IA, aumenta a superfície de ataque, tornando essencial que os usuários e administradores de sistemas compreendam as diferenças entre essas extensões e os complementos tradicionais de navegadores.

Um estudo recente da Comparitech revelou que as senhas mais comuns em 2025 incluem ‘123456’, ‘admin’ e ‘password’, com mais de 2 bilhões de senhas reais analisadas. A pesquisa destacou que 25% das 1.000 senhas mais usadas consistem apenas em números, e 38,6% contêm a sequência ‘123’. Além disso, 65,8% das senhas analisadas têm menos de 12 caracteres, o que as torna vulneráveis a ataques de força bruta. A combinação de números e palavras fracas, como ‘admin’ e ‘qwerty’, contribui para a fraqueza das senhas. Especialistas recomendam senhas com pelo menos 12 caracteres, misturando letras maiúsculas, minúsculas, números e símbolos. A pesquisa também enfatiza a importância de senhas únicas e a ativação da autenticação de dois fatores para proteger contas, mesmo que a senha seja comprometida. A análise foi baseada em dados de vazamentos de credenciais em fóruns de dados, com informações coletadas de forma a garantir a confidencialidade dos usuários.

A Bitdefender foi novamente reconhecida como um fornecedor representativo no Gartner® Market Guide para Managed Detection and Response (MDR), marcando sua quarta inclusão consecutiva. O Gartner destaca que, entre mais de 600 provedores globais de serviços MDR, apenas alguns atendem aos rigorosos critérios para figurar no guia. A Bitdefender se destaca por sua abordagem centrada no ser humano, oferecendo proteção de nível empresarial com gerenciamento proativo de exposição, especialmente para pequenas e médias empresas que não têm capacidade para manter Centros de Operações de Segurança (SOCs) completos. O serviço de MDR da Bitdefender combina tecnologias avançadas de detecção, inteligência global sobre ameaças e resposta liderada por especialistas, proporcionando monitoramento contínuo e investigação de ameaças. Isso resulta em detecções mais rápidas e maior confiança na resposta a ataques avançados, como ransomware. A crescente adoção de MDR é impulsionada pela sofisticação das ameaças cibernéticas e pela escassez de talentos em segurança. O relatório do Gartner também enfatiza a importância da pesquisa independente na escolha de provedores de MDR, com 64% dos profissionais de TI e segurança afirmando que avaliações de terceiros influenciam suas decisões de compra.

O cibercrime está se expandindo para além do ambiente digital, afetando diretamente o mundo físico e a economia global. Recentemente, foram descobertas falhas de segurança críticas no Windows Graphics Device Interface (GDI), que podem permitir a execução remota de código e a divulgação de informações. Essas vulnerabilidades, identificadas como CVE-2025-30388, CVE-2025-53766 e CVE-2025-47984, foram corrigidas pela Microsoft, mas ressaltam a dificuldade em garantir a segurança total de sistemas complexos. Além disso, três cidadãos chineses foram condenados em Cingapura por hackearem sites de jogos, demonstrando como grupos organizados utilizam ciberataques para fraudes e roubo de dados. A análise de malware também está se beneficiando da inteligência artificial, com ferramentas como o ChatGPT acelerando a triagem e análise de trojans sofisticados. Por fim, o Departamento de Segurança Interna dos EUA propôs novas regras para a coleta de dados biométricos em processos de imigração, o que pode ter implicações significativas para a privacidade e segurança de dados. Este cenário destaca a necessidade urgente de uma abordagem integrada de segurança cibernética que considere tanto as ameaças digitais quanto suas repercussões no mundo físico.

As instituições financeiras enfrentam uma nova realidade em cibersegurança, onde a ciber-resiliência se tornou uma exigência regulatória. Regulamentos como o DORA na UE e o CORIE na Austrália exigem que essas organizações realizem exercícios de gerenciamento de crise e simulações de incidentes cibernéticos. A complexidade da conformidade está na colaboração entre equipes técnicas e não técnicas, onde simulações de incidentes cibernéticos precisam ser integradas a exercícios de mesa. A ferramenta OpenAEV tem se destacado ao permitir a combinação de simulações técnicas e de comunicação humana, facilitando a preparação e execução de cenários de crise. Essa abordagem integrada não só melhora a eficiência logística, mas também permite que as equipes desenvolvam uma memória muscular para responder a crises reais. À medida que as regulamentações se tornam mais rigorosas, as instituições devem se adaptar rapidamente, realizando simulações frequentes e relevantes para garantir a conformidade e a resiliência operacional. O acesso a ferramentas como OpenAEV, que oferece uma biblioteca de cenários de ransomware e integrações técnicas, é crucial para fortalecer as defesas cibernéticas e a conformidade.

Um novo grupo de ameaças, identificado como InedibleOchotense, foi observado realizando ataques de phishing que se disfarçam como a empresa de cibersegurança ESET, visando entidades ucranianas. A campanha, detectada em maio de 2025, utiliza e-mails e mensagens no Signal para enviar links para um instalador trojanizado da ESET. O e-mail, escrito em ucraniano, contém um erro de tradução que sugere uma origem russa. O instalador malicioso não apenas entrega o ESET AV Remover legítimo, mas também uma variante de um backdoor chamado Kalambur, que utiliza a rede Tor para controle remoto. Além disso, o grupo Sandworm, associado à Rússia, continua a realizar ataques destrutivos na Ucrânia, utilizando malware de limpeza de dados. Outro ator, RomCom, também explorou uma vulnerabilidade do WinRAR para realizar campanhas de phishing, visando setores financeiros e de defesa na Europa e Canadá. Esses incidentes destacam a crescente complexidade e a interconexão das ameaças cibernéticas na região, com implicações diretas para a segurança de dados e operações de empresas que utilizam tecnologias amplamente adotadas, como as da ESET.

Pesquisadores de segurança da Tenable descobriram sete vulnerabilidades críticas nos modelos ChatGPT da OpenAI, que expõem milhões de usuários a ataques sofisticados sem necessidade de interação direta. Essas falhas permitem que agentes maliciosos roubem dados sensíveis e comprometam sistemas, levantando sérias questões sobre a segurança dos modelos de linguagem. As vulnerabilidades afetam tanto o GPT-5 quanto o ChatGPT-4, explorando fraquezas na forma como esses modelos processam dados externos e gerenciam informações do usuário. Um dos pontos mais preocupantes é a capacidade de contornar mecanismos de segurança do ChatGPT utilizando links de rastreamento do Bing, permitindo que atacantes exfiltratem dados do usuário de forma discreta. Além disso, a técnica de Injeção de Memória possibilita que instruções maliciosas sejam persistentes em várias conversas, vazando informações privadas sem que o usuário perceba. A pesquisa também identificou uma vulnerabilidade de renderização de markdown, que oculta conteúdos maliciosos, tornando os ataques praticamente invisíveis. Esses vetores de ataque representam uma ameaça significativa, especialmente para organizações que utilizam o ChatGPT em trabalhos sensíveis, exigindo uma resposta rápida da OpenAI para mitigar os riscos.

No dia 5 de novembro de 2025, o Google lançou a versão 142 do Chrome, que corrige cinco vulnerabilidades críticas, sendo três delas de alta severidade. A atualização é especialmente importante devido à vulnerabilidade CVE-2025-12725, que envolve um erro de escrita fora dos limites na WebGPU, o componente de processamento gráfico do Chrome. Essa falha pode permitir que atacantes executem código malicioso diretamente nos sistemas dos usuários. Além disso, duas outras vulnerabilidades de alta severidade afetam o motor de processamento do Chrome: CVE-2025-12727, que atinge o motor JavaScript V8, e CVE-2025-12726, que impacta o componente Views, responsável pela interface do usuário do navegador. Ambas as falhas podem levar à corrupção de memória e execução não autorizada de código. O Google também corrigiu duas vulnerabilidades de severidade média relacionadas à barra de endereços do Chrome, a Omnibox. Os usuários são aconselhados a atualizar o navegador o mais rápido possível, e o Google recomenda a ativação de atualizações automáticas para garantir que os patches de segurança sejam aplicados prontamente.

O Google Threat Intelligence Group (GTIG) identificou um novo malware chamado PROMPTFLUX, que utiliza a API Gemini para modificar seu próprio código durante a execução. Este dropper é notável por empregar uma técnica chamada ‘just-in-time AI’, que permite que o malware altere dinamicamente sua estrutura e conteúdo, dificultando a detecção por métodos tradicionais. O PROMPTFLUX se comunica com a API Gemini para obter novas variantes de código VBScript, focadas em evadir antivírus. Um módulo denominado ‘Thinking Robot’ automatiza o processo, salvando arquivos regenerados na pasta de inicialização do Windows para garantir persistência. A análise do GTIG revelou que o malware ainda está em fase de desenvolvimento e não foi amplamente implantado. No entanto, a utilização de modelos de linguagem para metamorfose em tempo de execução indica uma evolução significativa em ecossistemas de malware autônomos. Além disso, o relatório correlaciona atividades semelhantes com outros malwares habilitados por IA, como PROMPTSTEAL e PROMPTLOCK, associados a atores estatais de países como Coreia do Norte, Irã e China. O Google reforçou suas medidas de segurança para mitigar esses riscos, destacando a importância do desenvolvimento responsável de IA.

A Hyundai AutoEver America, LLC confirmou um vazamento de dados que expôs informações sensíveis de clientes, incluindo nomes, números de Seguro Social e dados de carteiras de motorista. O ataque cibernético ocorreu entre 22 de fevereiro e 2 de março de 2025, quando os invasores mantiveram acesso não autorizado ao ambiente de TI da empresa por aproximadamente nove dias. A empresa detectou a intrusão em 1º de março e imediatamente iniciou uma investigação, com apoio de especialistas em cibersegurança e autoridades. Os clientes afetados foram notificados com cartas personalizadas, detalhando os dados comprometidos. Para mitigar os riscos, a Hyundai AutoEver ofereceu serviços gratuitos de monitoramento de crédito e proteção contra roubo de identidade por dois anos. Especialistas recomendam que os clientes permaneçam vigilantes, revisando extratos financeiros e relatando qualquer atividade suspeita. O incidente destaca a importância de medidas de segurança robustas e a necessidade de monitoramento contínuo das informações pessoais expostas.

Em 5 de novembro de 2025, a equipe de segurança do Django lançou patches críticos para corrigir duas vulnerabilidades significativas que afetam várias versões do popular framework web em Python. As falhas, identificadas como CVE-2025-64458 e CVE-2025-64459, podem permitir que atacantes realizem ataques de negação de serviço (DoS) e injeções de SQL através de entradas maliciosas. A vulnerabilidade mais grave, CVE-2025-64459, afeta a funcionalidade de consulta central do Django, permitindo que atacantes explorem métodos como QuerySet.filter(), QuerySet.exclude() e QuerySet.get() utilizando um argumento _connector malicioso. Isso ocorre devido à validação insuficiente de entradas, criando uma brecha para injeções de SQL. A segunda vulnerabilidade, CVE-2025-64458, afeta especificamente implantações em Windows, explorando problemas de desempenho no processo de normalização Unicode do Python, o que pode levar a um vetor de DoS ao enviar solicitações com muitos caracteres Unicode. A equipe de segurança recomenda que todos os usuários do Django atualizem imediatamente para as versões corrigidas: 5.2.8, 5.1.14 ou 4.2.26, disponíveis no site oficial do Django.

A SonicWall confirmou que um grupo de ameaças patrocinadas por um Estado foi responsável pela violação de segurança ocorrida em setembro, que resultou na exposição não autorizada de arquivos de backup de configuração de firewall. A empresa esclareceu que a atividade maliciosa foi restrita ao acesso não autorizado a arquivos de backup na nuvem, utilizando uma chamada de API, e que o incidente não está relacionado aos ataques de ransomware Akira que afetam firewalls e outros dispositivos de borda. A SonicWall contratou a Mandiant, empresa pertencente ao Google, para investigar a violação, que afetou menos de 5% de seus clientes que utilizam o serviço de backup na nuvem. A empresa assegurou que seus produtos, firmware e outros sistemas não foram comprometidos e que várias ações corretivas recomendadas pela Mandiant foram implementadas para fortalecer sua infraestrutura de segurança. Os clientes da SonicWall são aconselhados a acessar o MySonicWall.com para verificar seus dispositivos e redefinir as credenciais dos serviços afetados, se necessário. Além disso, a empresa disponibilizou ferramentas online para análise e redefinição de credenciais, visando aumentar a segurança dos serviços.

Pesquisadores da ESET identificaram 12 aplicativos maliciosos para Android que gravam conversas e chamadas dos usuários sem o seu conhecimento. Esses aplicativos, disfarçados de plataformas de mensagens, são utilizados por cibercriminosos para instalar um spyware chamado VajraSpy nos dispositivos. O ataque começa com uma abordagem que cria uma falsa sensação de confiança, levando a vítima a instalar o aplicativo malicioso. Uma vez instalado, o VajraSpy tem acesso a informações confidenciais, como contatos, mensagens e localização, além de poder gravar áudios e chamadas. Embora alguns desses aplicativos tenham sido removidos da Google Play Store, outros ainda estão disponíveis, exigindo que os usuários tenham cautela ao baixar novos aplicativos. Para se proteger, recomenda-se não clicar em links suspeitos, verificar a reputação dos aplicativos e estar atento a sinais de infecção, como solicitações inesperadas de acesso ao microfone e consumo excessivo de bateria. A instalação de um antivírus também é uma medida recomendada para detectar atividades suspeitas em tempo real.

Pesquisadores de segurança digital da Expel identificaram uma nova campanha de ransomware que utiliza anúncios falsos do Microsoft Teams para enganar usuários. A quadrilha Rhysida, conhecida por seus ataques desde junho de 2025, cria páginas que imitam o site oficial de download do Teams. Quando a vítima clica no anúncio, é redirecionada para uma página falsa, onde, ao tentar baixar o software, seu dispositivo é infectado por dois malwares: OysterLoader e Latrodectus. Esses malwares permitem que os cibercriminosos acessem remotamente o aparelho da vítima, criptografando seus dados e abrindo portas para outros golpes digitais. A Rhysida já foi responsável por ataques significativos, como o que resultou no roubo de quase 600 GB de dados da Biblioteca Britânica em 2023. A campanha atual destaca a importância de cautela ao clicar em anúncios, mesmo em plataformas confiáveis como o Bing, e reforça a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Um novo malware para Android, identificado como ‘Android/BankBot-YNRK’, está causando preocupação entre usuários de criptomoedas na Indonésia e em outros países do sudeste asiático. Este trojan bancário se disfarça de aplicativos populares, como WhatsApp e TikTok, e é capaz de drenar carteiras de criptomoedas sem que as vítimas percebam. O malware utiliza recursos de acessibilidade do Android para obter controle total do dispositivo, permitindo que os cibercriminosos acessem dados bancários, senhas e chaves de criptomoedas. Uma das características mais alarmantes do vírus é sua capacidade de desativar notificações e alertas, tornando difícil para o usuário perceber transações suspeitas em andamento. Além disso, o malware pode capturar imagens em tempo real, facilitando o roubo de credenciais de acesso. A Cyfirma, empresa de cibersegurança que identificou a ameaça, alerta que o vírus se espalha principalmente por meio de downloads de APKs de fontes não oficiais, enganando os usuários com simulações de verificações de dados pessoais. A situação é crítica, especialmente para dispositivos com Android 13 e versões anteriores, que oferecem permissões que facilitam a ação do malware.

Um estudo da MIT Sloan School of Management, que afirmava que 80,83% dos ataques de ransomware eram realizados por criminosos utilizando inteligência artificial (IA), foi retirado após críticas severas de especialistas em cibersegurança. O estudo, co-autorado por pesquisadores do MIT e executivos da Safe Security, foi amplamente desacreditado por figuras proeminentes da área, como Kevin Beaumont e Marcus Hutchins, que consideraram as alegações como ‘ridículas’ e ‘sem provas’. Beaumont destacou que o estudo mencionava grupos de ransomware que não utilizam IA e até citou o Emotet, que não está ativo há anos. Após a repercussão negativa, o MIT anunciou que o documento estava sendo revisado. O autor Michael Siegel afirmou que o objetivo do estudo era alertar sobre o aumento do uso de IA em ataques cibernéticos e a necessidade de medições adequadas. A controvérsia ressalta a tensão crescente na pesquisa em cibersegurança, onde o entusiasmo por IA pode ofuscar a análise factual. Embora a IA tenha potencial tanto para ataques quanto para defesas, exagerar seu uso malicioso pode distorcer prioridades, especialmente quando proveniente de instituições respeitáveis como o MIT.

O relatório ‘Cybersecurity Forecast 2026’ do Google Cloud destaca uma mudança significativa no cenário de cibersegurança, com a adoção crescente de inteligência artificial (IA) tanto por atacantes quanto por defensores. O documento, que se baseia em análises de especialistas em segurança do Google, prevê que o próximo ano será marcado por uma evolução tecnológica rápida e técnicas de ataque cada vez mais sofisticadas. Um dos principais achados é a normalização do uso de IA por cibercriminosos, que estão integrando essa tecnologia em todos os ciclos de ataque, permitindo campanhas mais rápidas e ágeis. A vulnerabilidade de injeção de prompt, onde atacantes manipulam sistemas de IA para executar comandos ocultos, é uma preocupação crescente. Além disso, a engenharia social habilitada por IA, como campanhas de vishing com clonagem de voz, está se tornando mais comum, dificultando a detecção de ataques de phishing. O relatório também menciona que o ransomware e a extorsão continuarão a ser as categorias mais disruptivas e financeiramente prejudiciais, com foco em provedores terceirizados e vulnerabilidades críticas. A previsão sugere que as equipes de segurança devem se adaptar rapidamente, utilizando metodologias de IA para fortalecer suas defesas e preparar-se para um aumento nas atividades de engenharia social e operações de estados-nação.

O grupo de ransomware Interlock reivindicou um ataque cibernético ao Departamento de Polícia de Shelbyville, no Kentucky, ocorrido em outubro de 2025. O chefe da polícia, Bruce Gentry, confirmou que a rede de computadores da instituição foi comprometida, resultando na interrupção de suas operações. Interlock alegou ter roubado 208 GB de dados, incluindo gravações de câmeras de segurança, e publicou amostras para corroborar sua afirmação. Até o momento, o departamento não confirmou a veracidade das alegações nem se pagará o resgate exigido. Interlock, que começou a operar em outubro de 2024, já reivindicou 72 ataques, sendo 35 confirmados por organizações-alvo. O grupo também é responsável por outras violações de dados em entidades governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, com 68 incidentes confirmados em 2025, causando interrupções significativas em serviços essenciais. O caso do Departamento de Polícia de Shelbyville destaca a vulnerabilidade das instituições públicas e a necessidade urgente de medidas de segurança cibernética eficazes.

O Google revelou a descoberta de um novo malware chamado PROMPTFLUX, que utiliza um script em Visual Basic (VBScript) para interagir com a API do modelo de inteligência artificial Gemini. Este malware é capaz de gerar seu próprio código-fonte, permitindo técnicas de ofuscação e evasão em tempo real, o que dificulta a detecção por sistemas de segurança baseados em assinaturas estáticas. A funcionalidade inovadora do PROMPTFLUX é parte de um componente denominado ‘Thinking Robot’, que consulta periodicamente o modelo de linguagem Gemini para obter novas técnicas de evasão. Embora atualmente o malware não tenha capacidade de comprometer redes ou dispositivos, sua evolução e a possibilidade de auto-modificação indicam um potencial de ameaça crescente. O Google também observou que atores maliciosos estão utilizando IA não apenas para aumentar a produtividade, mas para desenvolver ferramentas que se adaptam durante a execução. Além disso, o uso de IA por grupos patrocinados por estados, como os da China e Irã, para criar conteúdo enganoso e desenvolver infraestrutura técnica para exfiltração de dados, destaca a crescente sofisticação das ameaças cibernéticas. A expectativa é que o uso de IA por atores maliciosos se torne a norma, aumentando a velocidade e a eficácia de suas operações.

O Relatório de Ameaças Europeu de 2025, da Crowdstrike, revela um aumento alarmante de 13% nos ataques de ransomware na Europa, com o Reino Unido sendo o país mais afetado. Entre setembro de 2024 e agosto de 2025, 1.380 vítimas enfrentaram vazamentos de dados, com 92% delas sofrendo encriptação e roubo de informações. Os setores mais atingidos incluem manufatura, serviços profissionais e tecnologia. Os grupos de ransomware mais ativos foram Akira, LockBit e RansomHub, focando em grandes empresas, uma prática conhecida como ‘big game hunting’. Além disso, o relatório destaca um aumento no uso de ‘violência como serviço’ (VaaS), que envolve ameaças físicas e sequestros, com 17 incidentes relacionados a criptomoedas, sendo a maioria na França. O caso do co-fundador da Ledger, sequestrado em janeiro de 2025, exemplifica essa nova tática. O aumento de ataques de vishing e ClickFix também foi notado, evidenciando a evolução das técnicas de engenharia social utilizadas pelos hackers.

A ferramenta de cibersegurança da Google, Big Sleep, identificou cinco vulnerabilidades no Webkit do navegador Safari, da Apple. Essas falhas, se exploradas, poderiam causar colapsos no navegador ou corrupção de memória. As vulnerabilidades foram corrigidas pela Apple em atualizações recentes, que incluem melhorias na checagem de limites e no manejo de estado e memória. As falhas identificadas são: CVE-2025-43429, um buffer overflow; CVE-2025-43430, uma vulnerabilidade não especificada; CVE-2025-43431 e CVE-2025-43433, que causavam corrupção de memória; e CVE-2025-43434, uma vulnerabilidade use-after-free. A Apple lançou patches para iOS, iPadOS, macOS, tvOS, watchOS e visionOS, exceto para dispositivos mais antigos. Embora não haja relatos de exploração ativa dessas vulnerabilidades, é crucial que os usuários atualizem seus dispositivos para evitar possíveis ataques. A Big Sleep, desenvolvida pela Google, é uma ferramenta de IA que automatiza a descoberta de vulnerabilidades e já havia identificado falhas em outras plataformas, como o SQLite.

A Microsoft identificou um problema que pode afetar usuários de sistemas operacionais Windows após a atualização de segurança de outubro de 2025. Dispositivos com processadores Intel que suportam a tecnologia Connected Standby podem apresentar telas de recuperação do BitLocker inesperadamente durante reinicializações, exigindo que os usuários insiram manualmente a chave de recuperação para restaurar a funcionalidade normal. O problema afeta as versões do Windows 11 (24H2 e 25H2) e do Windows 10 (22H2). A situação ocorre após a instalação de atualizações lançadas em ou após 14 de outubro de 2025. A Microsoft está investigando a causa raiz e já ativou um recurso de reversão de problemas conhecido (KIR) para mitigar o impacto. Embora a interrupção seja temporária e a funcionalidade de criptografia permaneça intacta, a empresa recomenda que os usuários mantenham suas chaves de recuperação acessíveis e monitorem o painel de saúde do Windows para atualizações sobre a resolução do problema. Servidores Windows não são afetados, limitando o impacto principalmente a estações de trabalho de consumidores e empresas.

Uma vulnerabilidade crítica de escalonamento de privilégios foi identificada no Windows Cloud Files Mini Filter Driver, classificada como CVE-2025-55680. Essa falha explora uma vulnerabilidade do tipo time-of-check to time-of-use (TOCTOU), permitindo que atacantes locais contornem restrições de gravação de arquivos e obtenham acesso não autorizado a nível de sistema. A origem da vulnerabilidade remonta a uma divulgação do Project Zero em 2020, que visava prevenir ataques de links simbólicos. No entanto, a validação de strings de caminho ocorre no espaço do usuário antes do processamento em modo kernel, criando uma janela crítica para exploração. Um atacante pode modificar a memória entre a verificação de segurança e a operação real do arquivo, contornando todas as proteções. O processo de exploração envolve a função HsmFltProcessHSMControl da API do Cloud Files, que, ao chamar HsmFltProcessCreatePlaceholders, pode criar arquivos em diretórios protegidos com privilégios de modo kernel. A Microsoft já disponibilizou patches para corrigir essa vulnerabilidade, e as organizações devem priorizar sua aplicação, uma vez que o ataque requer apenas acesso local ao sistema e não necessita de interação do usuário.

O grupo de ameaças APT-C-60 intensificou suas atividades entre junho e agosto de 2025, visando organizações japonesas com e-mails de spear-phishing sofisticados. Nesta nova campanha, os atacantes se disfarçaram como candidatos a emprego, enviando mensagens diretamente aos recrutadores. Ao contrário de campanhas anteriores, onde os arquivos maliciosos eram baixados via Google Drive, nesta fase, os arquivos VHDX foram anexados diretamente aos e-mails. Dentro do contêiner VHDX, os alvos encontravam arquivos de atalho (LNK) e currículos falsos. Ao serem clicados, os arquivos LNK executavam um binário legítimo, gcmd.exe, que rodava um script malicioso chamado glog.txt, criando e executando cargas adicionais enquanto exibia um currículo falso para enganar as vítimas.

Um novo malware para Android, denominado NGate, foi descoberto pela CERT Polska, utilizando uma técnica sofisticada de relé NFC para atacar usuários de bancos na Polônia. O ataque permite que criminosos realizem saques em caixas eletrônicos usando os próprios cartões de pagamento das vítimas, sem a necessidade de roubo físico. O processo começa com mensagens de phishing que se disfarçam de alertas bancários, levando as vítimas a instalar um aplicativo malicioso que simula ferramentas legítimas de banco móvel. Após a instalação, os usuários são induzidos a confirmar seus cartões através de NFC, o que resulta na captura de dados sensíveis, como o número do cartão e o PIN, que são enviados em tempo real para os atacantes. A análise técnica revelou que o aplicativo malicioso opera como um serviço de emulação de cartão, interceptando a comunicação NFC e transmitindo os dados para um servidor controlado pelos criminosos. A CERT Polska recomenda que os usuários baixem apenas aplicativos bancários verificados e entrem em contato diretamente com seus bancos ao receber solicitações suspeitas. Este incidente destaca a necessidade de vigilância constante e educação sobre segurança cibernética entre os usuários de serviços financeiros.

O burnout nas equipes de Segurança da Informação (SOC) é um problema crescente, causado principalmente pela sobrecarga de alertas e pela falta de ferramentas adequadas. O artigo apresenta três passos práticos para mitigar esse desgaste e melhorar a eficiência das equipes. O primeiro passo é reduzir a sobrecarga de alertas, utilizando análises em tempo real que oferecem contexto completo sobre as ameaças, permitindo que os analistas priorizem e ajam com confiança. O segundo passo envolve a automação de tarefas repetitivas, liberando os analistas para se concentrarem em investigações mais complexas. A combinação de automação com análise interativa pode aumentar significativamente a eficiência das operações. Por fim, a integração de inteligência de ameaças em tempo real ajuda a minimizar o trabalho manual, permitindo que os analistas acessem dados atualizados sem precisar alternar entre várias ferramentas. Essas melhorias não apenas ajudam a prevenir o burnout, mas também tornam as equipes mais ágeis e focadas em suas atividades principais.

O Departamento do Tesouro dos EUA anunciou sanções contra oito indivíduos e duas entidades ligadas à Coreia do Norte, acusados de lavagem de dinheiro para financiar atividades ilícitas, incluindo cibercrime e fraudes trabalhistas. Segundo John K. Hurley, Subsecretário do Tesouro, hackers patrocinados pelo Estado norte-coreano têm roubado e lavado dinheiro para sustentar o programa de armas nucleares do regime, representando uma ameaça direta à segurança global. Entre os sancionados estão Jang Kuk Chol e Ho Jong Son, que gerenciavam fundos de um banco sancionado anteriormente, e a Korea Mangyongdae Computer Technology Company, que utilizava trabalhadores de TI para ocultar a origem de seus rendimentos. O artigo destaca que, nos últimos três anos, cibercriminosos ligados à Coreia do Norte roubaram mais de US$ 3 bilhões, principalmente em ativos digitais, utilizando malware sofisticado e engenharia social. A atividade criminosa inclui a contratação de programadores estrangeiros para estabelecer parcerias comerciais, com parte da receita sendo enviada de volta à Coreia do Norte. As sanções visam cortar as fontes de receita ilícitas do regime, que utiliza tanto canais tradicionais quanto digitais, como criptomoedas, para financiar suas operações.

Um novo grupo de ciberespionagem, codinome UNK_SmudgedSerpent, foi identificado como responsável por uma série de ataques cibernéticos direcionados a acadêmicos e especialistas em política externa entre junho e agosto de 2025, em meio a tensões geopolíticas entre Irã e Israel. Segundo a Proofpoint, os ataques utilizam iscas políticas, como mudanças sociais no Irã e investigações sobre a militarização do Corpo da Guarda Revolucionária Islâmica (IRGC). As táticas empregadas são semelhantes às de grupos de espionagem cibernética iranianos anteriores, como TA455 e TA453, com e-mails que se assemelham a ataques clássicos de phishing. Os atacantes se envolvem em conversas benignas antes de tentarem roubar credenciais, utilizando URLs maliciosas que disfarçam instaladores de software legítimos, como o PDQ Connect. A operação sugere uma evolução na cooperação entre entidades de inteligência iranianas e unidades cibernéticas, focando na coleta de informações sobre análises de políticas ocidentais e pesquisas acadêmicas. O ataque destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

O artigo aborda a segurança dos dispositivos Android, especialmente os da linha Samsung Galaxy, desmistificando a ideia de que o sistema é inerentemente inseguro. Com o aumento do trabalho remoto, a segurança dos dados corporativos se torna uma preocupação central para administradores de TI. A plataforma Samsung Knox é apresentada como uma solução robusta que combina proteções de hardware e software, permitindo um controle mais profundo sobre os dispositivos e dados da empresa. Entre as funcionalidades destacadas, estão a proteção proativa contra malware, com o Google Play Protect e o Samsung Message Guard, que previnem ataques de zero-click. Além disso, a plataforma oferece ferramentas para gerenciar atualizações de forma eficiente, permitindo que administradores controlem o timing e a versão dos updates, minimizando interrupções. O artigo também enfatiza que a maioria das violações de segurança está relacionada a falhas humanas, e não apenas a vulnerabilidades de plataforma. Portanto, a implementação de políticas de segurança e a utilização de soluções como o Samsung Knox são essenciais para garantir a proteção dos dados corporativos.

Pesquisadores de cibersegurança revelaram um conjunto de sete vulnerabilidades que afetam os modelos GPT-4o e GPT-5 da OpenAI, incluindo técnicas de injeção de prompt que podem ser exploradas por atacantes para roubar informações pessoais dos usuários. As falhas permitem que um invasor manipule o comportamento esperado do modelo de linguagem, levando-o a executar ações maliciosas sem o conhecimento do usuário. Entre as vulnerabilidades estão a injeção de prompt indireta via sites confiáveis, a injeção de prompt sem clique e a injeção de memória, que podem comprometer a privacidade dos dados armazenados nas interações do ChatGPT. A OpenAI já tomou medidas para corrigir algumas dessas falhas, mas a pesquisa destaca a necessidade de mecanismos de segurança mais robustos. Além disso, o estudo alerta para a crescente complexidade das ameaças, como ataques de injeção de prompt que podem ser realizados com um número reduzido de documentos maliciosos, tornando esses ataques mais acessíveis para potenciais invasores. A situação exige atenção redobrada de empresas e profissionais de segurança da informação, especialmente em um cenário onde a proteção de dados pessoais é cada vez mais crítica.

O grupo de ameaças FIN7, também conhecido como Savage Ladybug, continua a utilizar um backdoor baseado em SSH específico para Windows, que foi identificado pela primeira vez em 2022. Recentemente, a Prodaft revelou que a campanha mais recente do grupo faz uso de um conjunto de ferramentas OpenSSH personalizadas e um script de instalação chamado install.bat, que estabelece canais de acesso remoto criptografados e facilita a exfiltração de dados.

O malware transforma sistemas Windows em clientes SSH, permitindo a criação de túneis reversos para servidores controlados pelos atacantes, contornando restrições de firewall. Após a ativação, o malware possibilita sessões SFTP seguras para transferências de dados discretas e controle contínuo pelos operadores. A aparência modular e legítima dos componentes OpenSSH torna a detecção difícil, pois imita utilitários administrativos inofensivos.

Pesquisadores de segurança revelaram uma técnica de ataque sofisticada que utiliza o Microsoft OneDrive para executar código malicioso, contornando defesas de segurança tradicionais. O método, conhecido como DLL sideloading, explora a ordem previsível de busca de bibliotecas dinâmicas do Windows. Quando o OneDrive.exe é iniciado, o sistema operacional procura arquivos necessários, como version.dll, em várias localizações, começando pelo diretório do aplicativo. Os atacantes aproveitam esse comportamento ao inserir uma versão maliciosa do arquivo version.dll no diretório do OneDrive, fazendo com que o aplicativo carregue código controlado pelo invasor em vez das bibliotecas legítimas da Microsoft.

Dois ex-profissionais de segurança cibernética, Ryan Clifford Goldberg e Kevin Tyler Martin, foram acusados de liderar uma operação de ransomware sofisticada que visava empresas americanas. Entre maio de 2023 e abril de 2025, eles supostamente utilizaram a variante ALPHV BlackCat para atacar pelo menos cinco grandes corporações em setores como dispositivos médicos e farmacêuticos. As acusações incluem conspiração para extorsão e danos intencionais a computadores protegidos. Os criminosos operavam por meio de um painel na dark web, onde as vítimas podiam negociar pagamentos em criptomoedas. O caso destaca a crescente capacidade das autoridades de rastrear cibercriminosos, mesmo em um ambiente de criptomoedas, e representa um aumento significativo nas ações legais contra operadores de ransomware. Os réus enfrentam penas de até 20 anos de prisão por extorsão e 10 anos por danos a computadores, além de possíveis multas e confisco de ativos relacionados ao esquema de ransomware.

Um recente teste de penetração revelou uma vulnerabilidade crítica de escalonamento de privilégios nas instalações do Jupyter Notebook, uma plataforma amplamente utilizada para ciência de dados. A falha não é decorrente de um erro de código, mas sim de uma combinação perigosa de configurações padrão e padrões de implantação que muitas equipes de segurança frequentemente ignoram. Quando o Jupyter é executado com privilégios de root e a autenticação está desativada, o recurso de API de terminal se torna um acesso direto ao sistema. Os pesquisadores descobriram que, ao acessar o endpoint da API REST /api/terminals, um invasor pode criar sessões de terminal sem autenticação. Utilizando ferramentas compatíveis com WebSocket, como websocat, os atacantes podem interagir com a interface do terminal e obter acesso root sem a necessidade de técnicas tradicionais de escalonamento de privilégios. Uma vez que o acesso root é alcançado, os invasores podem acessar arquivos de configuração do Jupyter, permitindo a criação de shells reversos persistentes e backdoors. Para mitigar essa vulnerabilidade, é crucial que o Jupyter não seja executado como root em ambientes de produção e que medidas de segurança, como autenticação obrigatória e desativação da API de terminal, sejam implementadas.

Um grave vazamento de dados na empresa de TI sueca Miljödata comprometeu informações pessoais de mais de 1,5 milhão de pessoas, levando a Autoridade Sueca de Proteção de Dados (IMY) a abrir uma investigação. O incidente, ocorrido no final de agosto, envolveu o roubo de grandes volumes de dados pessoais, que foram posteriormente publicados na Darknet. A IMY está avaliando se a Miljödata e várias organizações do setor público, como a Cidade de Gotemburgo e a Prefeitura de Älmhult, cumpriram as exigências do Regulamento Geral sobre a Proteção de Dados (GDPR). A investigação busca entender como o ataque ocorreu, quais dados foram afetados e se as medidas de segurança da empresa eram adequadas. A IMY enfatizou a necessidade de examinar as práticas de proteção de dados, especialmente em relação a informações sensíveis, como dados de crianças e indivíduos com identidades protegidas. O incidente levanta questões críticas sobre a segurança cibernética e a gestão responsável de dados na Suécia, refletindo preocupações que também podem ser relevantes para o Brasil, especialmente em relação à conformidade com a LGPD.

Hackers estão colaborando com gangues de crime organizado para roubar cargas diretamente das cadeias de suprimentos, conforme relatado pela ProofPoint. Esses ataques envolvem o envio de links maliciosos para empresas de logística, permitindo que os criminosos acessem sistemas e redirecionem remessas para destinos fraudulentos. Através de engenharia social, os hackers conseguem identificar cargas de alto valor e se passam por representantes legítimos, manipulando motoristas e eliminando notificações de despachantes. Embora não haja relatos de violência, a possibilidade de danos físicos aos motoristas é uma preocupação real. O roubo de cargas já representa um custo anual de aproximadamente 34 bilhões de dólares, e a digitalização das cadeias de suprimentos aumenta a vulnerabilidade a esses ataques. A combinação de habilidades cibernéticas e táticas tradicionais de roubo sugere uma evolução preocupante no crime, exigindo atenção redobrada das empresas de logística e transporte.

Uma pesquisa da Proton revelou que 300 milhões de registros pessoais foram vazados na dark web, com 49% contendo senhas de usuários. O estudo, realizado com a ferramenta Data Breach Observatory, destacou que 71% dos dados expostos pertencem a pequenas e médias empresas. Além das senhas, 72% dos registros incluíam números de telefone e endereços, enquanto 34% continham informações de saúde e dados governamentais. O vazamento de credenciais é um indicativo de falhas graves na segurança digital, expondo os usuários a riscos de fraudes e ataques cibernéticos. A análise da Fortinet aponta que a combinação de contas legítimas com credenciais roubadas dificulta a detecção de fraudes, uma vez que os cibercriminosos podem se infiltrar nas atividades normais das empresas. A pesquisa também alerta que muitos vazamentos ocorrem com logins simples, sem a necessidade de técnicas sofisticadas. Para se proteger, é essencial adotar senhas fortes e únicas, além de implementar a autenticação de dois fatores sempre que possível.

O setor elétrico brasileiro está sob crescente ameaça de ciberataques, com 535 mil tentativas registradas apenas no primeiro semestre de 2025, conforme divulgado pela ANEEL durante um painel sobre segurança online. Apesar de todas as tentativas terem sido bloqueadas, a superintendente de Gestão Técnica da Informação da ANEEL, Adriana Drummond Vivan, alertou para a vulnerabilidade dos sistemas de segurança do setor. Ela destacou a importância de uma regulamentação que, embora sirva como diretriz, não deve limitar a atuação dos profissionais da área. Vivan enfatizou que a regulação deve ser constantemente atualizada para acompanhar as rápidas mudanças no ambiente digital. Além disso, ela mencionou que um ataque cibernético ao setor elétrico pode ter um efeito dominó, afetando outras áreas, como telecomunicações, o que poderia resultar em sérios problemas de segurança de dados. Para mitigar esses riscos, a cooperação entre diferentes setores é essencial, permitindo um compartilhamento eficaz de informações e estratégias de defesa.

No dia 19 de outubro de 2025, o Museu do Louvre, em Paris, foi alvo de um assalto audacioso, resultando no roubo de joias avaliadas em cerca de R$ 543 milhões. Os assaltantes exploraram falhas de segurança, incluindo senhas fracas como ‘Louvre’ para acessar as câmeras de segurança. A invasão foi facilitada por uma combinação de técnicas de OSINT e conhecimento sobre a movimentação de visitantes no museu. Documentos de segurança de 2014 e 2024 já apontavam para vulnerabilidades, como sistemas desatualizados e senhas inadequadas. O incidente expôs a fragilidade das medidas de segurança, mesmo em uma instituição de renome, e levantou questões sobre a gestão de tecnologia e segurança. Apesar de algumas tentativas de distração, como atear fogo em uma escada móvel, a operação dos criminosos foi marcada por amadorismo, evidenciado pela perda de uma coroa durante a fuga. A reputação do Louvre foi severamente afetada, destacando que a tecnologia avançada não é suficiente sem uma administração eficaz das medidas de segurança.

Com a aproximação das férias de fim de ano, uma pesquisa da Proofpoint revela que mais da metade dos principais sites de turismo no Brasil, como Booking, Airbnb e Tripadvisor, não adotam práticas adequadas de segurança digital. O estudo analisou 20 plataformas populares e constatou que 55% delas não implementam medidas básicas, como o bloqueio de e-mails falsos, o que aumenta o risco de fraudes online. Embora 80% dos sites utilizem o protocolo DMARC (Domain-based Message Authentication, Reporting and Conformance), apenas 45% o fazem de forma avançada, deixando uma brecha para cibercriminosos que podem falsificar identidades e aplicar técnicas de phishing. Para evitar golpes, os usuários devem desconfiar de links suspeitos, verificar a autenticidade de mensagens e evitar senhas fracas. A pesquisa destaca a necessidade urgente de melhorias na segurança digital dessas plataformas, especialmente em um período em que o turismo tende a aumentar.

Uma nova campanha de cibercriminosos tem se aproveitado da popularidade do WhatsApp e de ferramentas de inteligência artificial para roubar dados pessoais dos usuários. Identificada pela empresa de segurança Appknox, a campanha envolve aplicativos falsos que imitam a interface do WhatsApp, ChatGPT e DALL·E, disponíveis em lojas digitais alternativas. Esses aplicativos maliciosos, como o WhatsApp Plus, solicitam permissões excessivas, como acesso a SMS e registros de chamadas, permitindo que os criminosos capturem informações sensíveis sem o consentimento dos usuários. O malware pode operar mesmo quando o aplicativo está fechado, utilizando bibliotecas nativas para monitorar atividades. A Appknox alerta que a falha nos mecanismos de verificação de aplicativos torna a situação ainda mais crítica, exigindo uma vigilância constante nas lojas de aplicativos e a educação dos usuários sobre a instalação de aplicativos apenas em plataformas oficiais. A descoberta dessa campanha é um sinal de alerta para empresas, pois dispositivos comprometidos podem ser usados para roubar códigos de verificação bancária e facilitar fraudes.