Cibersegurança

Pesquisadores de segurança identificaram uma falha crítica na arquitetura do motor de renderização Blink, que afeta navegadores baseados em Chromium, como Chrome, Edge, Brave e Opera, colocando mais de 3 bilhões de usuários em risco de ataques de negação de serviço (DoS). Denominada Brash, a vulnerabilidade permite que atacantes incapacitem completamente esses navegadores em apenas 15 a 60 segundos, utilizando técnicas simples de injeção de código. O ataque explora a ausência de limitação de taxa na API document.title, inundando o navegador com milhões de solicitações de atualização de título por segundo, o que sobrecarrega o thread principal do navegador e provoca um colapso do sistema. Testes mostraram que todos os navegadores baseados em Chromium são vulneráveis, enquanto Firefox e Safari permanecem imunes devido a arquiteturas de renderização diferentes. As consequências vão além da simples inconveniência, afetando o desempenho do sistema e podendo interromper operações críticas em setores como saúde e finanças. A vulnerabilidade ainda não foi corrigida, e patches estão em desenvolvimento, o que exige atenção imediata dos usuários e administradores de sistemas.

O cenário de cibersegurança está cada vez mais voltado para ataques baseados em nuvem, com criminosos cibernéticos explorando ferramentas de segurança legítimas para realizar reconhecimento malicioso. A AzureHound, uma ferramenta de teste de penetração destinada a profissionais de segurança autorizados, foi transformada em uma arma por atacantes que buscam comprometer ambientes do Azure e do Microsoft Entra ID. Pesquisadores de segurança relataram que adversários sofisticados, como grupos apoiados pelo Irã e pela Rússia, estão utilizando a AzureHound em suas atividades de descoberta pós-compromisso. A ferramenta coleta dados através das APIs do Microsoft Graph e Azure REST, permitindo que atacantes mapeiem caminhos de ataque, identifiquem alvos de alto valor e descubram oportunidades de escalonamento de privilégios. Após obter acesso inicial ao ambiente da vítima, os atacantes podem usar a AzureHound para enumerar rapidamente todo o inquilino do Azure, sem necessidade de posicionamento especial na rede. Para se proteger contra o abuso da AzureHound, as organizações devem implementar controles de segurança em camadas, como autenticação multifator, políticas de acesso condicional e monitoramento de atividades da API do Azure. A vigilância contínua e a resposta rápida a incidentes são essenciais para mitigar esses riscos.

Nos primeiros nove meses de 2025, foram registrados 180 ataques cibernéticos no setor educacional, um aumento de 6% em relação ao mesmo período de 2024. Apesar desse crescimento, os últimos dois trimestres de 2025 mostraram uma diminuição significativa nos ataques, marcando a primeira queda desde o início do ano. Até agora, 63 ataques foram confirmados, resultando em 227.214 registros de dados comprometidos. Os ataques frequentemente causaram interrupções nas atividades escolares, com um impacto médio de 2,6 TB de dados roubados por ataque. Os grupos de ransomware mais ativos incluem Qilin, Fog e Interlock, sendo este último responsável pela maioria dos ataques confirmados. Os Estados Unidos lideram em número de ataques, seguidos pelo Reino Unido e França, que viu um aumento significativo nos incidentes. As demandas de resgate variam, com uma média de $444.400, e alguns casos extremos chegando a $1,5 milhão. A situação exige atenção especial dos líderes de segurança, especialmente em relação à proteção de dados e conformidade com a LGPD.

Pesquisadores de cibersegurança descobriram uma campanha ativa de ataque à cadeia de suprimentos de software, denominada PhantomRaven, que visa o registro npm. Desde agosto de 2025, mais de 100 pacotes maliciosos foram identificados, com um total de 126 bibliotecas npm que atraíram mais de 86.000 instalações. Esses pacotes são projetados para roubar tokens de autenticação, segredos de CI/CD e credenciais do GitHub dos desenvolvedores. O ataque se destaca pela técnica de esconder código malicioso em dependências, utilizando URLs HTTP personalizadas que direcionam para um site não confiável, dificultando a detecção por ferramentas de segurança. Quando um desenvolvedor instala um pacote aparentemente benigno, o código malicioso é executado, coletando informações sensíveis do ambiente do desenvolvedor e enviando-as para um servidor remoto. A escolha dos nomes dos pacotes não é aleatória, aproveitando-se de um fenômeno conhecido como slopsquatting, onde nomes plausíveis são gerados por modelos de linguagem. Essa situação ressalta a necessidade de uma vigilância constante em ecossistemas de código aberto, onde a facilidade de publicação pode facilitar a disseminação de malware.

O cenário de cibersegurança está em constante evolução, com atacantes focando em alvos de alto impacto e explorando novas vulnerabilidades. Recentemente, o Hijack Loader foi utilizado em campanhas de phishing na América Latina, especificamente na Colômbia, onde e-mails falsos relacionados ao escritório do Procurador Geral foram enviados para disseminar o PureHVNC RAT. Além disso, um ex-empregado de um contratante de defesa dos EUA foi condenado por vender segredos comerciais a um corretor russo, recebendo pagamentos em criptomoedas. A Europol alertou sobre o aumento da fraude global impulsionada por chamadas com identificação falsa, que causam perdas estimadas em 850 milhões de euros anualmente. Em resposta a essas ameaças, o Google anunciou que o Chrome passará a usar HTTPS como padrão a partir de abril de 2026, visando aumentar a segurança dos usuários. Por fim, uma avaliação da segurança cibernética do setor energético dos EUA revelou uma exposição significativa à internet, com quase 40 mil hosts vulneráveis. Esses eventos destacam a necessidade urgente de ações proativas por parte das organizações para proteger seus ativos digitais.

O Picus Breach and Simulation (BAS) Summit deste ano destacou uma mudança significativa na abordagem da cibersegurança, enfatizando que a defesa não se trata mais de prever ataques, mas de provar a eficácia das defesas existentes. Com a velocidade com que novos exploits surgem e se espalham, a necessidade de testar controles em tempo real se torna crucial. O BAS evoluiu de uma atividade anual de conformidade para uma prática diária que valida se as defesas estão realmente funcionando. A simulação de comportamentos adversariais em ambientes controlados permite que as equipes de segurança entendam como suas defesas reagem a ataques, focando em resultados e não apenas em inventários de vulnerabilidades. Além disso, a integração da inteligência artificial no processo de cibersegurança se mostrou mais eficaz na organização de dados do que na criação de novos, permitindo uma resposta mais rápida e precisa a ameaças. O evento também evidenciou que a validação contínua das defesas pode transformar a abordagem de ‘corrigir tudo’ para ‘corrigir o que realmente importa’, priorizando as vulnerabilidades que representam riscos reais. Essa mudança de paradigma é essencial para que as organizações se mantenham à frente das ameaças cibernéticas.

Pesquisadores de segurança da XLab identificaram uma expansão significativa da botnet PolarEdge, que comprometeu mais de 25.000 dispositivos e 140 servidores de comando e controle (C2) em 40 países. A descoberta se concentrou em um novo componente, o RPX_Client, que transforma dispositivos IoT vulneráveis em nós proxy para operações cibernéticas. O ataque foi detectado em 30 de maio de 2025, quando um arquivo ELF chamado ‘w’ começou a ser distribuído, inicialmente sem detecções no VirusTotal, sugerindo uma campanha furtiva. A maioria dos dispositivos infectados está localizada na Coreia do Sul (41,97%), seguida pela China (20,35%) e Tailândia (8,37%). Os alvos principais incluem câmeras de vigilância KT CCTV e gravadores de vídeo digitais da Shenzhen TVT, além de roteadores Asus e Cisco. A infraestrutura RPX_Server opera em servidores virtuais privados, principalmente na Alibaba Cloud e Tencent Cloud, utilizando um certificado PolarSSL idêntico, o que facilitou a validação dos servidores ativos. O design da botnet complica os esforços de atribuição, tornando a identificação de origens de ataques mais desafiadora.

Pesquisadores da SquareX alertam sobre um novo vetor de ataque que utiliza extensões maliciosas para criar barras laterais falsas em navegadores. Essas barras laterais imitam assistentes de IA legítimos e podem capturar informações sensíveis, como senhas e tokens de autenticação, sem que o usuário perceba. O ataque se dá através da injeção de JavaScript nas páginas da web, permitindo que a interface falsa sobreponha a verdadeira, dificultando a detecção. Os especialistas destacam que muitas extensões solicitam permissões amplas, como acesso a hosts e armazenamento, o que torna a análise de permissões uma estratégia de detecção menos eficaz. A crescente popularidade de navegadores com assistentes de IA pode aumentar a superfície de ataque, tornando a segurança mais desafiadora. Os usuários são aconselhados a tratar esses assistentes como recursos experimentais e evitar o manuseio de dados sensíveis. As equipes de segurança devem implementar controles mais rigorosos sobre extensões e monitorar atividades anômalas para mitigar riscos. O artigo enfatiza a necessidade de verificações de integridade da interface e uma melhor orientação sobre o uso aceitável dessas ferramentas.

A pesquisa ‘Golpes com Pix’, realizada pela Silverguard, revelou um aumento alarmante nos prejuízos causados por golpes digitais em 2025, com um crescimento médio de 21% em relação ao ano anterior. O estudo, que analisou 12.197 denúncias na Central SOS Golpe, mostrou que os golpes de engenharia social, que enganam as vítimas para que realizem pagamentos, resultaram em perdas de R$ 51 bilhões. Além disso, fraudes com cartão de crédito e golpes em contas-correntes e poupanças somaram R$ 23 bilhões e R$ 38 bilhões, respectivamente, totalizando mais de R$ 100 bilhões em prejuízos relacionados a golpes digitais no Brasil. A pesquisa também destacou uma mudança no perfil dos alvos, com 65% dos golpes direcionados a contas jurídicas, indicando uma profissionalização do crime digital. Os estados de Alagoas, Espírito Santo e Roraima lideram em termos de prejuízo médio por golpe. A análise aponta que as plataformas sociais, especialmente as da Meta, são os principais locais onde esses golpes ocorrem, com o uso crescente de inteligência artificial para tornar as fraudes mais convincentes. O cenário é preocupante, especialmente para pessoas acima de 60 anos, que são as mais afetadas por esses crimes.

O grupo de ransomware Devman reivindicou um ataque cibernético ao Family Health West, um hospital e rede de clínicas médicas no Colorado, que resultou na paralisação de todos os sistemas eletrônicos da instituição. Embora a Family Health West tenha afirmado que não há evidências de perda ou criptografia de dados, o Devman alegou ter roubado 120 GB de informações e exigiu um resgate de $700.000, ameaçando divulgar os dados se a quantia não for paga em quatro dias. Este ataque marca a primeira vez que o Devman ataca uma empresa de saúde e também é seu primeiro alvo nos Estados Unidos. O grupo, que opera um modelo de ransomware como serviço, já atacou 41 organizações, com um resgate médio de $4,4 milhões. Em 2025, foram registrados 71 ataques de ransomware em instituições de saúde dos EUA, comprometendo mais de 7,5 milhões de registros. Os ataques a hospitais podem colocar em risco a saúde e a segurança dos pacientes, levando a interrupções nos serviços e à necessidade de recorrer a métodos manuais de atendimento.

Um estudo da Coveware revelou que apenas 23% das empresas vítimas de ataques de ransomware pagaram os resgates exigidos no terceiro trimestre de 2025, a menor taxa já registrada. Essa queda reflete uma mudança significativa na postura das organizações, que estão investindo mais em defesas contra ataques cibernéticos em vez de ceder às exigências dos criminosos. A média dos valores pagos também caiu drasticamente, com uma redução de 66% em relação ao trimestre anterior, totalizando US$ 376 mil. A evolução dos ataques de ransomware, que agora frequentemente incluem a exfiltração de dados, tem levado as empresas a reconsiderarem suas estratégias de pagamento. Especialistas apontam que cada pagamento evitado limita os recursos dos cibercriminosos, dificultando suas operações. Além disso, a conscientização sobre os riscos e a pressão regulatória têm contribuído para essa resistência crescente. As empresas estão adotando medidas de segurança mais robustas, como autenticação multifator e treinamento de funcionários, para prevenir ataques. A tendência é que os grupos de ransomware se tornem mais seletivos em seus alvos, focando em grandes corporações que possam pagar resgates elevados, enquanto tentam adaptar suas táticas para se manterem lucrativos.

O malware Baohuo, que se disfarça como versões falsas do Telegram X, já infectou mais de 58 mil dispositivos globalmente, com 12 mil vítimas no Brasil, representando 20,5% do total. A ameaça, identificada pela empresa de segurança Doctor Web, não se limita a smartphones, afetando também tablets e sistemas de infotenimento. Os criminosos utilizam sites fraudulentos em português que imitam lojas de aplicativos, atraindo usuários com promessas de recursos aprimorados. O Baohuo opera de forma discreta, permitindo que os cibercriminosos tenham controle total sobre as contas do Telegram das vítimas sem que elas percebam. O malware se destaca por sua sofisticação, utilizando técnicas como backdoors e um sistema de comando e controle baseado em Redis, que permite a exfiltração de dados e controle remoto das funcionalidades do aplicativo. A campanha começou em meados de 2024 e continua ativa, com cerca de 20 mil conexões de dispositivos infectados. A escolha do Brasil como alvo prioritário se deve à alta penetração do Telegram e à vulnerabilidade dos usuários a golpes.

Um novo projeto de pesquisa em segurança, denominado TEE.fail, revelou vulnerabilidades críticas em Ambientes de Execução Confiável (TEEs) modernos da Intel, AMD e Nvidia. Os pesquisadores demonstraram que atacantes podem extrair chaves criptográficas por meio da interposição do barramento de memória DDR5, utilizando equipamentos comuns. Apesar das proteções de segurança em nível de hardware, esses ataques físicos podem comprometer ambientes de computação confidenciais ao interceptar o tráfego de memória DDR5. O ataque explora uma fraqueza fundamental na implementação da criptografia de memória pelas empresas, que utilizam modos de criptografia determinísticos, permitindo que padrões no tráfego de memória criptografada revelem informações sobre os dados subjacentes. Os pesquisadores conseguiram extrair chaves de atestação ECDSA do Intel Provisioning Certification Enclave (PCE) em uma única operação de assinatura, forjando cotações de atestação TDX que passaram pela verificação oficial da Intel. Além disso, a vulnerabilidade se estende à segurança de computação confidencial da Nvidia, permitindo a execução não autorizada de cargas de trabalho de IA. O ataque não requer exploração em nível de software, tornando as mitig ações tradicionais ineficazes. Este estudo, realizado por equipes da Georgia Tech e da Purdue University, destaca a importância das proteções de acesso físico, mesmo com os avanços tecnológicos em computação confidencial.

Um novo relatório da Group-IB revela que criminosos cibernéticos estão utilizando plataformas de negociação falsas para roubar fundos de investidores desavisados na Ásia. Essas plataformas, que imitam exchanges de criptomoedas e forex, empregam táticas avançadas de engenharia social e uma infraestrutura compartilhada para sistematizar a vitimização em massa. A pesquisa indica que os atores de ameaça mantêm uma infraestrutura centralizada que suporta múltiplos domínios fraudulentos, evidenciada por endpoints de API recorrentes e certificados SSL compartilhados. O fluxo de manipulação das vítimas, desde o primeiro contato até a extração de fundos, é meticulosamente organizado, com um operador principal supervisionando equipes especializadas. Apesar de esforços de fiscalização, como a implementação da Circular 17/2024 no Vietnã, que exige verificação biométrica mais rigorosa, os mercados negros estão respondendo com a venda de dados de identidade roubados e documentos falsificados. A integração de IA generativa nas operações de fraude representa uma nova ameaça, potencialmente automatizando iscas personalizadas em larga escala. O cenário sugere que redes de fraude transnacionais ainda operam em grande escala, desafiando as investigações das autoridades.

O ator de ameaças conhecido como zeta88 está promovendo um novo programa de ransomware como serviço (RaaS) chamado Gentlemen’s, que visa ambientes empresariais em sistemas operacionais Windows, Linux e ESXi. Este RaaS se destaca por sua arquitetura modular e compatível com múltiplas plataformas, utilizando linguagens como Go e C para otimização de desempenho. O ransomware implementa chaves efêmeras por arquivo, dificultando a recuperação de dados e aumentando a complexidade da descriptografia. Além disso, o malware possui recursos avançados de segurança operacional, como modos de execução silenciosa e técnicas anti-forense para evitar detecções. O modelo econômico do programa permite que afiliados recebam 90% dos pagamentos de resgate, enquanto os operadores retêm apenas 10%, refletindo uma tendência crescente em operações de ransomware. A operação exclui alvos na Rússia e em países da CEI, focando em empresas da América do Norte, Europa e APAC. Para se proteger contra essa ameaça emergente, as organizações devem priorizar a implementação de soluções de EDR, segmentação de rede e fortalecimento da infraestrutura de backup.

A IBM X-Force identificou uma campanha de phishing coordenada que visou usuários colombianos entre agosto e outubro de 2025. Os atacantes utilizaram comunicações judiciais falsificadas para distribuir o Trojan de Acesso Remoto (RAT) PureHVNC por meio do carregador de malware Hijackloader. Essa campanha é significativa, pois representa a primeira vez que o PureHVNC foi direcionado a usuários de língua espanhola e a primeira campanha do Hijackloader focada especificamente em vítimas da América Latina.

Uma campanha de intrusão de dois meses, recentemente descoberta, visou uma grande organização de serviços empresariais na Ucrânia, além de um ataque de uma semana contra uma entidade governamental local. Os atacantes, associados a grupos de ameaças russos, utilizaram táticas de ‘Living-off-the-Land’, evitando o uso de malware convencional e mantendo acesso persistente enquanto minimizavam os riscos de detecção. A invasão começou em 27 de junho de 2025, quando os hackers implantaram webshells em servidores expostos, provavelmente explorando vulnerabilidades não corrigidas. Um dos webshells identificados foi o Localolive, associado ao subgrupo Sandworm, uma unidade de inteligência militar da Rússia. Após a invasão inicial, os atacantes realizaram uma fase de reconhecimento metódica, coletando credenciais e configurando ferramentas legítimas para garantir acesso contínuo. A campanha destaca a sofisticação técnica dos atacantes e a necessidade de as organizações implementarem soluções robustas de detecção e resposta a incidentes, além de programas abrangentes de gerenciamento de vulnerabilidades.

Organizações na Ucrânia estão sendo alvo de ataques cibernéticos de origem russa, com o objetivo de roubar dados sensíveis e manter acesso persistente a redes comprometidas. Um relatório da equipe de Threat Hunter da Symantec e Carbon Black revelou que os ataques focaram uma grande organização de serviços empresariais por dois meses e uma entidade governamental local por uma semana. Os invasores utilizaram táticas de Living-off-the-Land (LotL) e ferramentas de uso duplo, minimizando o uso de malware para evitar detecções. Acesso inicial foi obtido através da implantação de web shells em servidores expostos, explorando vulnerabilidades não corrigidas. Um dos web shells, chamado Localolive, foi associado a um grupo de hackers conhecido como Sandworm, que já havia sido utilizado em campanhas anteriores. Os atacantes realizaram diversas ações, incluindo a execução de comandos PowerShell para manipular configurações do sistema e realizar reconhecimento. Embora a quantidade de malware utilizado tenha sido limitada, a atividade maliciosa foi predominantemente realizada com ferramentas legítimas, demonstrando um conhecimento profundo das ferramentas nativas do Windows. Este cenário destaca a crescente complexidade e sofisticação dos ataques cibernéticos, especialmente em contextos geopolíticos tensos.

O artigo da BeyondTrust destaca que em 2026, as ameaças cibernéticas estarão fortemente ligadas à gestão de identidades. A primeira previsão é a ascensão da IA agente como vetor de ataque, onde ferramentas de IA podem ser manipuladas para executar ações maliciosas devido a permissões inadequadas. A segunda previsão é o aumento do ‘account poisoning’, onde fraudadores inserem pagadores e cobradores fraudulentos em contas financeiras, utilizando automação para explorar falhas nos sistemas. Por último, o artigo alerta para a presença de ‘identidades fantasmas’ em sistemas de gerenciamento de identidade (IAM), que podem resultar em brechas de segurança não detectadas. As organizações devem adotar uma postura de segurança centrada na identidade, aplicando princípios de menor privilégio e zero trust. Além disso, o artigo menciona a obsolescência das VPNs tradicionais e o surgimento do ‘AI veganism’, um movimento contra o uso de IA por questões éticas. A mensagem central é que a segurança deve ser reavaliada à luz dessas novas ameaças, com foco na gestão de identidades.

A Inteligência Artificial (IA) está revolucionando a Governança, Risco e Conformidade (GRC), trazendo mudanças significativas na forma como as equipes operam. As capacidades da IA incluem acelerar auditorias, identificar riscos críticos rapidamente e reduzir o trabalho manual, resultando em maior eficiência e precisão. No entanto, essa transformação também apresenta novos desafios, como viés potencial, lacunas regulatórias e pontos cegos perigosos, que ainda estão sendo abordados por órgãos reguladores. Para ajudar as organizações a se adaptarem a esse novo cenário, será realizado um webinar gratuito intitulado ‘O Futuro da IA no GRC: Oportunidades, Riscos e Insights Práticos’. O evento abordará exemplos reais de como a IA melhora fluxos de trabalho de conformidade, lições aprendidas e melhores práticas, além de estratégias para identificar e mitigar riscos comuns. A velocidade da inovação em IA é impressionante, e a lacuna entre a capacidade tecnológica e o arcabouço legal representa uma exposição imediata ao risco. O webinar reunirá especialistas e exemplos práticos, permitindo que as organizações se preparem proativamente para os desafios que a IA traz ao GRC.

Pesquisadores em cibersegurança identificaram uma nova vulnerabilidade em navegadores web que utilizam inteligência artificial, como o OpenAI ChatGPT Atlas. O problema, denominado ‘cloaking direcionado a IA’, permite que atacantes manipulem o conteúdo exibido para crawlers de IA, expondo-os a ataques de envenenamento de contexto. A técnica, semelhante ao cloaking de motores de busca, utiliza uma verificação simples do agente do usuário para entregar conteúdo diferente para humanos e sistemas de IA. Isso pode distorcer a percepção de autoridade e verdade, afetando milhões de usuários. A empresa SPLX, que divulgou a vulnerabilidade, alerta que essa manipulação pode ser uma arma poderosa de desinformação, comprometendo a confiança nas ferramentas de IA. Além disso, um estudo da hCaptcha Threat Analysis Group revelou que muitos navegadores tentaram executar ações maliciosas sem necessidade de jailbreak, indicando uma falta de salvaguardas adequadas. Isso levanta preocupações sobre a segurança de sistemas que dependem de IA, especialmente em um cenário onde a otimização para IA se torna cada vez mais comum.

Pesquisadores em cibersegurança alertam para um aumento significativo de ataques automatizados direcionados a servidores PHP, dispositivos IoT e gateways de nuvem, realizados por botnets como Mirai, Gafgyt e Mozi. Segundo o relatório da Qualys Threat Research Unit, os servidores PHP se tornaram alvos principais devido ao uso generalizado de sistemas de gerenciamento de conteúdo, como WordPress e Craft CMS, que frequentemente apresentam vulnerabilidades conhecidas e configurações inadequadas. Entre as falhas exploradas estão CVE-2017-9841, CVE-2021-3129 e CVE-2022-47945, que permitem execução remota de código. Além disso, os atacantes estão utilizando strings de consulta específicas para iniciar sessões de depuração, o que pode expor dados sensíveis. A Qualys também observou que as tentativas de exploração frequentemente se originam de infraestruturas de nuvem, como AWS e Google Cloud, evidenciando como serviços legítimos estão sendo usados para encobrir atividades maliciosas. A empresa recomenda que os usuários mantenham seus dispositivos atualizados, removam ferramentas de desenvolvimento em ambientes de produção e restrinjam o acesso público à infraestrutura de nuvem. A nova botnet AISURU, classificada como TurboMirai, é capaz de lançar ataques DDoS superiores a 20 Tbps, destacando a evolução das ameaças cibernéticas atuais.

O uso de inteligência artificial (IA) no cibercrime está crescendo rapidamente, com 80% dos ataques de ransomware em 2023-2024 utilizando essa tecnologia. Ferramentas como GhostGPT e AkiraBot estão permitindo que cibercriminosos criem códigos maliciosos, elaborem e-mails de phishing e contornem CAPTCHAs. A evolução dos ataques DDoS, especialmente os de camada de aplicação, se torna mais complexa, pois a IA pode mimetizar o comportamento humano, dificultando a identificação de bots. A proteção tradicional, baseada em CAPTCHAs, já não é eficaz. Em resposta, a filtragem baseada em intenção surge como uma alternativa, avaliando o comportamento do usuário em vez de tentar distinguir humanos de máquinas. As empresas precisam investir em plataformas de mitigação de DDoS que suportem essa nova abordagem e implementar monitoramento em múltiplas camadas para detectar anomalias. A falta de soluções adequadas entre os provedores de segurança gerencia um risco significativo, especialmente para grandes empresas, que podem sofrer danos reputacionais e financeiros severos em caso de ataques bem-sucedidos.

O Atroposia é um novo trojan de acesso remoto (RAT) que vem ganhando popularidade em fóruns underground, sendo oferecido como um kit de ferramentas de cibercrime acessível e modular. Com um custo de aproximadamente R$ 1.000 por seis meses, ele é projetado para atacantes com pouca ou nenhuma habilidade técnica. Entre suas funcionalidades, destaca-se o HRDP Connect, que permite acesso remoto invisível ao desktop da vítima, possibilitando que os atacantes interajam com o sistema sem serem detectados. Além disso, o Atroposia inclui um módulo de escaneamento de vulnerabilidades, que identifica falhas em sistemas comprometidos, e mecanismos robustos de persistência que garantem a continuidade do acesso mesmo após reinicializações. Outro recurso preocupante é a captura do conteúdo da área de transferência, que pode extrair informações sensíveis em tempo real. O uso de técnicas como o sequestro de DNS para redirecionar tráfego também é uma ameaça significativa, permitindo ataques de phishing e comprometimento de redes. A Varonis alerta que a evolução de ferramentas como o Atroposia representa um desafio crescente para a segurança cibernética, exigindo que as empresas adotem análises comportamentais avançadas para detectar atividades suspeitas.

Recentemente, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) e a VulnCheck alertaram sobre a exploração ativa de vulnerabilidades críticas em produtos da Dassault Systèmes, especificamente no DELMIA Apriso, e no XWiki. As falhas incluem a CVE-2025-6204, uma vulnerabilidade de injeção de código com pontuação CVSS de 8.0, e a CVE-2025-6205, uma falha de autorização ausente com pontuação de 9.1, ambas afetando versões do DELMIA Apriso de 2020 a 2025. A CVE-2025-24893, com pontuação CVSS de 9.8, permite a execução remota de código por usuários convidados no XWiki. Essas vulnerabilidades foram abordadas pela Dassault Systèmes em agosto de 2025, mas a exploração continua ativa, com tentativas de ataque relatadas desde março de 2025. Os ataques têm como alvo a instalação de mineradores de criptomoedas, utilizando um processo em duas etapas. A CISA exige que várias agências federais remedeiem as falhas até 18 de novembro de 2025. Dada a gravidade e a exploração ativa dessas vulnerabilidades, é crucial que os usuários apliquem as atualizações necessárias imediatamente.

Pesquisadores de cibersegurança descobriram um conjunto de 10 pacotes npm maliciosos que têm como objetivo roubar informações de sistemas Windows, Linux e macOS. Esses pacotes, que foram carregados no repositório em 4 de julho de 2025, acumulam mais de 9.900 downloads. Eles se disfarçam como bibliotecas populares, como TypeScript e discord.js, e utilizam quatro camadas de ofuscação para esconder seu código malicioso. Após a instalação, o malware exibe um CAPTCHA falso para parecer legítimo e captura o endereço IP da vítima, enviando-o para um servidor externo. O malware, que é ativado automaticamente durante a instalação, coleta credenciais de gerenciadores de senhas, navegadores e serviços de autenticação, armazenando essas informações em um arquivo ZIP que é enviado para o servidor do atacante. O uso de técnicas de ofuscação complexas dificulta a análise do código, permitindo que o malware opere sem ser detectado. Este incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger desenvolvedores e suas máquinas contra ameaças emergentes.

Durante o Cyber Security Summit 2025, o especialista em cibersegurança Andrew Bindner alertou sobre os riscos da inteligência artificial generativa na falsificação de documentos. Ele destacou que qualquer pessoa com acesso a ferramentas de IA pode criar documentos falsos, como carteiras de identidade e passaportes, que são visualmente perfeitos. Essa facilidade de criação de documentos falsificados representa uma ameaça significativa à segurança global, pois torna mais difícil a detecção de fraudes e espionagem. Bindner enfatizou a necessidade de educação cibernética e cooperação internacional para fortalecer a confiança no ambiente digital. Vitor Garcia, da Embraer, complementou que a IA não é apenas uma ameaça, mas também pode ser utilizada como uma ferramenta de defesa contra crimes digitais. A discussão levantou a importância de um esforço conjunto entre empresas e governos para mitigar os riscos associados ao uso malicioso da IA, que pode automatizar crimes digitais e comprometer a segurança das identidades digitais.

O grupo de ransomware Qilin reivindicou a responsabilidade por uma violação de dados que afetou a MedImpact Healthcare, uma gestora de benefícios farmacêuticos, no início de outubro de 2025. Em um comunicado, a MedImpact confirmou a detecção de ransomware em seus sistemas e informou que está trabalhando para restaurar os sistemas afetados em um novo ambiente seguro. Embora a empresa não tenha especificado quais dados foram comprometidos, Qilin alegou ter roubado 160 GB de informações, incluindo documentos de sua subsidiária Elixir Solutions. A MedImpact não confirmou a veracidade da alegação do grupo. O ataque é parte de uma tendência crescente de ataques de ransomware no setor de saúde dos EUA, que já registrou 12 incidentes confirmados em 2025, comprometendo cerca de 5,5 milhões de registros. O grupo Qilin, ativo desde 2022, é conhecido por sua abordagem de ransomware como serviço, onde afiliados pagam para usar seu malware. Este incidente destaca a vulnerabilidade das empresas de saúde e a necessidade de medidas robustas de cibersegurança.

O grupo de ransomware Akira assumiu a responsabilidade por uma violação de dados na BK Technologies, fabricante de dispositivos de comunicação sem fio, ocorrida em 20 de setembro de 2025. A empresa confirmou que um acesso não autorizado a seus sistemas foi realizado, resultando no roubo de 25 GB de dados, incluindo informações de funcionários, documentos contábeis e contratos confidenciais. Embora a Akira tenha listado a BK Technologies em seu site de vazamento de dados, a empresa ainda não confirmou a extensão dos dados comprometidos ou se pagará um resgate. O relatório da SEC indica que, após o incidente, alguns sistemas não críticos sofreram interrupções menores, mas a empresa acredita que o acesso não autorizado foi contido. Akira, que surgiu em março de 2023, já reivindicou 559 ataques de ransomware, afetando diversos setores, incluindo manufatura e saúde. O aumento de ataques a fabricantes nos EUA, como evidenciado por 50 incidentes confirmados em 2025, destaca a crescente ameaça de ransomware, que pode causar interrupções significativas nas operações e riscos de conformidade, especialmente em relação à LGPD no Brasil.

O artigo aborda os desafios enfrentados por equipes de segurança em startups em crescimento rápido, especialmente no contexto do Google Workspace. A principal missão é proteger a organização sem comprometer a agilidade dos negócios. O Google Workspace, embora ofereça uma base sólida de segurança, requer configurações adequadas e monitoramento constante para evitar brechas. O texto destaca práticas essenciais, como a implementação de autenticação multifator (MFA), o endurecimento do acesso administrativo, a configuração de compartilhamento seguro e o controle de acesso a aplicativos OAuth. Além disso, enfatiza a importância de proteger o e-mail contra ameaças, monitorar tentativas de invasão e entender os dados sensíveis armazenados. O artigo também menciona que, apesar das ferramentas nativas de segurança, ainda existem lacunas que podem ser preenchidas por soluções adicionais, como a Material Security, que oferece proteção avançada contra phishing e detecção de contas comprometidas. A abordagem sugere um equilíbrio entre colaboração e controle, permitindo que as equipes de segurança mantenham a produtividade enquanto protegem os dados da empresa.

Recentemente, o grupo de ameaças cibernéticas associado à Coreia do Norte, conhecido como Lazarus Group, tem direcionado suas atividades para os setores de Web3 e blockchain através de duas campanhas chamadas GhostCall e GhostHire. De acordo com a Kaspersky, essas operações fazem parte de uma iniciativa mais ampla chamada SnatchCrypto, que está em andamento desde 2017. A campanha GhostCall foca em dispositivos macOS de executivos de empresas de tecnologia e capital de risco, utilizando táticas de engenharia social via Telegram para convidar as vítimas a reuniões de investimento em sites de phishing que imitam plataformas como Zoom. Já a GhostHire visa desenvolvedores Web3, induzindo-os a baixar repositórios maliciosos do GitHub sob o pretexto de avaliações de habilidades. Ambas as campanhas têm mostrado um aumento na atividade desde 2023, com um foco particular em países como Japão, Itália e Austrália. As técnicas utilizadas incluem a instalação de malwares sofisticados que podem roubar credenciais e dados sensíveis, representando um risco significativo para as organizações afetadas.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Herodotus, que está em campanhas ativas visando usuários na Itália e no Brasil. O malware, que foi anunciado em fóruns underground em setembro de 2025, é projetado para realizar ataques de tomada de controle de dispositivos (DTO) e se destaca por tentar imitar o comportamento humano para evitar a detecção por biometria comportamental. Herodotus é distribuído por aplicativos disfarçados, como uma versão falsa do Google Chrome, e utiliza serviços de acessibilidade para interagir com a tela do dispositivo, exibir telas de login falsas e roubar credenciais. Além disso, o trojan pode interceptar códigos de autenticação de dois fatores (2FA) e instalar arquivos APK remotamente. Uma característica inovadora do Herodotus é a introdução de atrasos aleatórios nas ações remotas, o que simula a digitação humana e dificulta a detecção por soluções antifraude. O malware está em desenvolvimento ativo e já mira organizações financeiras em diversos países, incluindo os EUA e o Reino Unido, ampliando seu alcance. A ameaça representa um risco significativo para usuários de dispositivos Android, especialmente em um contexto onde a segurança financeira é crítica.

Pesquisadores do Georgia Tech, Purdue University e Synkhronix desenvolveram um ataque de canal lateral chamado TEE.Fail, que permite a extração de segredos do ambiente de execução confiável (TEE) em processadores, incluindo Intel SGX e AMD SEV-SNP. O ataque utiliza um dispositivo de interposição que custa menos de US$ 1.000 e pode inspecionar fisicamente todo o tráfego de memória em servidores DDR5. Essa técnica é a primeira a demonstrar vulnerabilidades em hardware de última geração, permitindo a extração de chaves criptográficas, incluindo chaves de atestação, mesmo em máquinas atualizadas e em estado confiável. Os pesquisadores destacaram que o modo de criptografia AES-XTS utilizado por Intel e AMD é determinístico, o que o torna insuficiente para prevenir ataques de interposição física. Embora não haja evidências de que o ataque tenha sido explorado na prática, recomenda-se a implementação de contramedidas de software, que podem ser dispendiosas. Tanto a AMD quanto a Intel afirmaram que não planejam fornecer mitigação para esses tipos de ataques físicos.

Pesquisadores da Infoblox descobriram que o Universe Browser, um navegador popular na China, é na verdade um malware que espiona os usuários. Promovido como uma ferramenta segura e focada em privacidade, o software registra tudo o que o usuário digita, altera configurações de rede e instala programas ocultos. O grupo criminoso por trás do navegador, conhecido como Vault Viper, está ligado a atividades de jogos de azar ilegais e crime organizado no Sudeste Asiático. O navegador, que se disfarça como uma alternativa segura a navegadores tradicionais, tem milhões de usuários que acreditam estar protegidos, mas na realidade, seu tráfego é monitorado por servidores na China. A análise técnica revela que o Universe Browser utiliza técnicas de evasão para evitar detecções e compromete a segurança do sistema, desabilitando recursos cruciais e permitindo acesso remoto aos cibercriminosos. A situação é um alerta para usuários que buscam privacidade online, enfatizando a importância de desconfiar de softwares que prometem segurança e anonimato, especialmente aqueles distribuídos em sites de jogos de azar. Para se proteger, é essencial baixar aplicativos apenas de desenvolvedores confiáveis e verificar a reputação dos softwares antes da instalação.

Na última semana, a Polícia Federal (PF) realizou a Operação Miopia no Rio de Janeiro, resultando na prisão preventiva de um homem em Botafogo. Ele é suspeito de integrar uma organização criminosa transnacional dedicada à disseminação de conteúdos de abuso sexual infantojuvenil em fóruns da dark web. Durante a operação, foram apreendidos oito computadores, quatro celulares e diversas mídias de armazenamento, que passarão por perícia técnica para determinar a extensão dos crimes. As investigações foram impulsionadas por cooperação internacional, evidenciando a natureza global das atividades criminosas. O suspeito não apenas participava de discussões com outros abusadores, mas também publicava conteúdos ilícitos. A PF destaca a importância de monitorar a atividade online de crianças e adolescentes, alertando para os riscos associados ao uso da internet e a necessidade de diálogo sobre segurança digital. A operação evidencia a gravidade dos crimes de abuso sexual, que vão além da produção e compartilhamento de material, incluindo aliciamento e estupro de vulneráveis. A PF ressalta a importância de usar terminologias adequadas, como ‘abuso sexual’, para refletir a seriedade das violações cometidas contra as vítimas.

Um vazamento massivo de dados, revelado por Troy Hunt, expôs mais de 183 milhões de credenciais de usuários do Gmail e de outros serviços de e-mail. O incidente, que ocorreu em abril de 2025, foi descoberto após Hunt cruzar informações de fóruns e bases de dados da dark web. Os dados comprometidos totalizam 3,5 terabytes e incluem não apenas senhas do Gmail, mas também credenciais de outros serviços como Amazon e Netflix, aumentando o risco de ataques de credential stuffing. Os infostealers, softwares maliciosos que capturam credenciais durante o login, são os responsáveis por essa violação. Embora o Google tenha negado uma violação específica em seus sistemas, a presença de quase 200 milhões de contas em bases de dados criminosas levanta preocupações sobre a segurança dos dados pessoais. O uso comum de senhas reutilizadas entre diferentes serviços amplifica o risco para os usuários. Especialistas alertam que a situação é alarmante, pois milhões de pessoas podem ter suas contas comprometidas sem saber. O incidente destaca a necessidade urgente de medidas de segurança mais robustas e conscientização sobre práticas seguras de gerenciamento de senhas.

Um novo relatório da Group-IB Threat Intelligence revelou uma campanha de espionagem sofisticada conduzida pelo grupo MuddyWater, vinculado ao Irã, que está atacando mais de 100 organizações governamentais e internacionais em todo o mundo. A operação utiliza contas de e-mail comprometidas acessadas através de um nó de saída do NordVPN na França para distribuir documentos maliciosos do Microsoft Word que contêm o malware Phoenix backdoor versão 4. Essa campanha de phishing sofisticada explora técnicas de engenharia social, levando os destinatários a ativar macros para visualizar o conteúdo, o que contorna os filtros de segurança convencionais.

Pesquisadores de segurança identificaram uma nova técnica sofisticada de phishing, onde cibercriminosos inserem caracteres Unicode invisíveis nas linhas de assunto de e-mails para evitar sistemas de detecção automatizados. Essa evolução de um método de evasão bem documentado representa uma escalada preocupante nas campanhas de phishing que visam organizações em todo o mundo.

A técnica envolve a inserção de caracteres de hífen suave (Unicode U+00AD) entre letras nas linhas de assunto, utilizando o formato MIME especificado na RFC 2047. Quando visualizados em clientes de e-mail como o Microsoft Outlook, esses caracteres permanecem ocultos, dificultando a identificação de palavras-chave que normalmente seriam sinalizadas como suspeitas. Um exemplo analisado teve a linha de assunto codificada como “=?UTF-8?B?WcKtb3XCrXIgUMKtYXPCrXN3wq1vwq1yZCBpwq1zIEHCrWLCrW91dCA=?=”, que se decodificou para “Sua Senha Está Prestes a Expirar”.

Um novo Trojan bancário para Android, chamado Herodotus, foi identificado como uma ameaça sofisticada que utiliza técnicas avançadas para evitar a detecção por biometria comportamental. Desenvolvido por um grupo conhecido como ‘K1R0’, o malware simula padrões de interação humana durante sessões de fraude, introduzindo atrasos aleatórios entre os eventos de entrada de texto, o que dificulta a identificação por sistemas de análise de digitação. Herodotus combina funcionalidades do Trojan Brokewell e é oferecido como Malware-as-a-Service em fóruns clandestinos, indicando sua ampla adoção comercial.

No cenário atual de cibersegurança, a velocidade na detecção de ameaças é crucial para a proteção dos negócios. O artigo destaca que a detecção precoce não apenas minimiza os custos associados a incidentes, mas também fortalece a confiança dos clientes e permite um crescimento sustentável. Quando uma violação é detectada logo no acesso inicial, os custos são significativamente menores em comparação com a detecção em estágios mais avançados, como a exfiltração de dados. Além disso, uma resposta rápida às ameaças transforma a segurança em um facilitador de crescimento, permitindo que as empresas lancem novas funcionalidades e realizem transformações digitais sem interrupções. A maturidade em cibersegurança também abre portas para novas oportunidades de negócios, especialmente em mercados que exigem conformidade e certificações. O uso de inteligência de ameaças (TI) é destacado como uma ferramenta essencial para a detecção precoce, fornecendo dados em tempo real sobre campanhas de malware e permitindo que as organizações prevejam ataques. O artigo conclui que a detecção precoce de ameaças não é apenas uma questão de segurança, mas uma vantagem competitiva que pode garantir a estabilidade e o crescimento das empresas.

Pesquisadores de cibersegurança da LayerX identificaram uma vulnerabilidade crítica no navegador Atlas da OpenAI, que permite a injeção de instruções maliciosas no sistema de memória do ChatGPT por meio de ataques de Cross-Site Request Forgery (CSRF). Essa falha, divulgada de forma responsável à OpenAI em 27 de outubro de 2025, representa um risco significativo para usuários que dependem da IA para codificação e gerenciamento de sistemas. O ataque se aproveita de uma fraqueza na forma como o Atlas lida com sessões autenticadas, permitindo que atacantes utilizem credenciais de autenticação de vítimas para injetar instruções ocultas na memória do ChatGPT. Uma vez comprometida, essa memória contaminada pode executar código remoto e potencialmente conceder controle sobre contas de usuários e sistemas conectados. Além disso, o navegador Atlas demonstrou deficiências alarmantes em detectar e bloquear ataques de phishing, aumentando ainda mais a vulnerabilidade dos usuários. A pesquisa revelou que apenas 6 de 103 páginas maliciosas foram bloqueadas, resultando em uma taxa de falha de 94,2%. Essa situação é particularmente preocupante, pois a memória contaminada persiste em todos os dispositivos onde o usuário acessa sua conta, dificultando a detecção e remediação do ataque.

Em setembro de 2025, uma nova campanha de ciberespionagem, atribuída ao grupo SideWinder, visou uma embaixada europeia em Nova Délhi e diversas organizações em Sri Lanka, Paquistão e Bangladesh. Os ataques, que ocorreram em quatro ondas de phishing entre março e setembro, utilizam uma cadeia de infecção baseada em arquivos PDF e ClickOnce, além de vetores de exploração do Microsoft Word. Os e-mails de phishing continham documentos maliciosos com títulos como ‘Credenciais da reunião interministerial.pdf’, disfarçados para parecerem legítimos. Ao abrir os arquivos, os usuários eram induzidos a baixar um aplicativo que, na verdade, instalava um DLL malicioso, o DEVOBJ.dll, que carregava o malware StealerBot. Este malware é capaz de coletar informações sensíveis, como senhas e capturas de tela. A evolução das técnicas de ataque do SideWinder demonstra sua adaptabilidade e sofisticação, refletindo um entendimento profundo dos contextos geopolíticos. A utilização de malware personalizado e a exploração de aplicações legítimas para evasão de segurança reforçam a necessidade de vigilância constante por parte das organizações.

Uma falha de segurança no Google Chrome, identificada como CVE-2025-2783, foi explorada em uma campanha de espionagem chamada Operation ForumTroll, que visou organizações na Rússia. A vulnerabilidade, que possui um CVSS de 8.3, permitiu que atacantes enviassem e-mails de phishing com links maliciosos que, ao serem clicados, ativavam um exploit para escapar do sandbox do navegador. Isso possibilitou a entrega de um spyware desenvolvido pela Memento Labs, chamado LeetAgent, que se conecta a um servidor de comando e controle para executar uma variedade de tarefas, incluindo a coleta de dados sensíveis. Os ataques foram direcionados a instituições de mídia, universidades e órgãos governamentais, com o objetivo de espionagem. A Memento Labs, formada pela fusão de empresas com histórico de venda de ferramentas de vigilância, tem suas operações ligadas a um grupo APT conhecido como ForumTroll. A exploração da falha foi documentada desde fevereiro de 2024, e a Kaspersky observou que a operação é caracterizada por um alto nível de sofisticação e direcionamento específico, com indícios de que os atacantes não são nativos russos. A situação destaca a necessidade urgente de atenção à segurança cibernética, especialmente em relação a vulnerabilidades em softwares amplamente utilizados.

A Microsoft implementou uma mudança significativa em suas versões do Windows 10 e 11, desabilitando a função de pré-visualização de arquivos baixados da internet. Essa decisão visa proteger os usuários de um vetor de ataque que permite o roubo de credenciais sem a necessidade de abrir um arquivo malicioso. A vulnerabilidade estava relacionada ao ‘Mark of the Web’ (MotW), que identifica arquivos baixados da internet. Ao tentar gerar uma prévia, o Windows se conectava automaticamente a servidores maliciosos, enviando hashes NTLM do usuário, que podem ser usados para autenticação em outros serviços da rede. Embora a pré-visualização possa ser reativada, a Microsoft alerta que essa ação deve ser feita com cautela, pois transfere a responsabilidade de segurança para o usuário. Essa mudança é especialmente relevante para ambientes corporativos, onde a segurança das credenciais é crucial. A nova configuração reflete uma prioridade pela segurança em detrimento da conveniência, destacando a necessidade de conscientização sobre os riscos associados a arquivos baixados.

O Windows 11 recebeu uma nova atualização no canal Dev, introduzindo a funcionalidade Proactive Memory Diagnostics, que visa aumentar a confiabilidade do sistema. Essa ferramenta notifica o usuário para realizar um diagnóstico de memória após uma falha crítica, como um bugcheck, que pode resultar em uma tela preta. O diagnóstico é realizado no próximo reinício do PC e, caso sejam encontrados problemas, o sistema tentará corrigi-los. Além disso, a atualização trouxe uma nova funcionalidade de ‘copiar e pesquisar’, que facilita a busca de textos copiados.

Pesquisadores da Kaspersky revelaram uma campanha de ciberespionagem sofisticada, chamada Operação ForumTroll, que utilizou uma vulnerabilidade zero-day do Chrome, identificada como CVE-2025-2783. Essa vulnerabilidade permitiu que atacantes contornassem as proteções de segurança do navegador ao explorar uma falha no sistema operacional Windows. A campanha visou instituições russas, incluindo meios de comunicação, universidades e organizações governamentais, através de e-mails de phishing disfarçados de convites para um fórum científico. O ataque foi acionado simplesmente ao clicar em um link malicioso, sem necessidade de interação adicional do usuário. A Kaspersky notificou o Google, que lançou patches para corrigir a falha. Além disso, a investigação revelou conexões com o spyware comercial Dante, desenvolvido pela Memento Labs, que possui capacidades avançadas de espionagem, como keylogging e execução remota de comandos. Essa situação destaca a importância de monitorar e corrigir vulnerabilidades em softwares amplamente utilizados, especialmente em um cenário de crescente ciberespionagem.

As escolas públicas de North Stonington, em Connecticut, notificaram alunos e funcionários sobre um vazamento de dados ocorrido em setembro de 2025, que comprometeu informações pessoais sensíveis. Os dados afetados incluem nomes, datas de nascimento, endereços, números de identificação de alunos, informações de saúde, registros acadêmicos e muito mais. Para os funcionários, os registros de emprego e arquivos pessoais também foram expostos, incluindo números de Seguro Social e informações de folha de pagamento. O grupo de ransomware Interlock reivindicou a responsabilidade pelo ataque, alegando ter roubado 3 TB de dados do distrito escolar. Embora a escola tenha detectado o incidente em 18 de setembro de 2025, ainda não se sabe quantas pessoas foram afetadas ou se um resgate foi pago. O distrito está oferecendo monitoramento de crédito gratuito para os afetados, com prazo de inscrição de 90 dias. Este incidente destaca a crescente ameaça de ataques de ransomware no setor educacional, que já registrou 39 ataques confirmados em 2025, afetando operações diárias e expondo dados sensíveis.

Um estudo da Check Point Research revelou a existência de uma rede maliciosa no YouTube, chamada de ‘YouTube Ghost Network’, que tem como objetivo disseminar malwares através de vídeos. Desde 2021, mais de 3.000 vídeos foram publicados, e a atividade aumentou significativamente em 2025, com um volume de publicações que triplicou desde o início do ano. Os hackers utilizam contas legítimas invadidas ou criam novas para publicar vídeos que, à primeira vista, parecem tutoriais, mas que na verdade direcionam os usuários para sites de download de malwares. Os vídeos incluem links que levam a plataformas como Mediafire e Dropbox, onde os usuários podem inadvertidamente baixar softwares maliciosos como Lumma Stealer e Rhadamanthys. A operação é complexa, com diferentes tipos de contas que desempenham papéis variados, como a publicação de vídeos e a interação com comentários e likes, para dar legitimidade ao conteúdo. Apesar da remoção de muitos vídeos pela Google, a rede continua ativa e em evolução, evidenciando a exploração das táticas de engajamento da plataforma para enganar os usuários.

Golpistas estão utilizando uma nova tática de engenharia social para roubar senhas e dados pessoais de usuários do WhatsApp e Facebook Messenger. A estratégia envolve a criação de contas falsas que se passam por suporte de empresas conhecidas. Os criminosos aguardam que usuários relatem problemas nas redes sociais e, em seguida, entram em contato oferecendo ajuda. Durante uma chamada de vídeo, eles solicitam que a vítima compartilhe a tela do celular. Embora não consigam acessar a senha diretamente, conseguem visualizar informações como nome de usuário e e-mail, além do código de verificação enviado para login, facilitando o roubo de contas. Para combater essa prática, a Meta implementará avisos quando usuários tentarem compartilhar a tela com contatos desconhecidos e monitorará conversas em busca de sinais de golpes. A empresa também destaca que a população idosa é a mais afetada por esses crimes virtuais e recomenda que os usuários verifiquem a autenticidade das comunicações recebidas.

O grupo de ciberataques Predatory Sparrow, supostamente vinculado a Israel, intensificou suas operações contra a infraestrutura crítica do Irã, visando instituições financeiras e governamentais. Desde sua emergência em 2019, o grupo tem demonstrado um aumento na sofisticação técnica e na capacidade de causar danos operacionais significativos. Em junho de 2025, o Predatory Sparrow assumiu a responsabilidade pela destruição de dados do Bank Sepah e pela interrupção de serviços da exchange de criptomoedas Nobitex, resultando na perda permanente de US$ 90 milhões em ativos digitais.