Cibersegurança

A OpenAI anunciou a implementação de uma nova funcionalidade chamada ‘Library’ para o ChatGPT, que permite aos usuários armazenar arquivos pessoais e imagens na nuvem da OpenAI. Esta funcionalidade está disponível para assinantes dos planos Plus, Pro e Business, mas não está sendo lançada para clientes na Área Econômica Europeia, Suíça e Reino Unido. Ao acessar a nova seção, os usuários descobrirão que o ChatGPT já salvou automaticamente alguns arquivos enviados nas últimas duas semanas, uma prática padrão que visa facilitar o acesso a documentos, planilhas e imagens em conversas futuras. Os arquivos são armazenados em um local seguro e permanecem na conta do usuário até que sejam deletados manualmente. É importante notar que a exclusão de um chat não remove os arquivos da Library. Para deletar um arquivo, o usuário deve selecioná-lo na aba ‘Library’ e clicar em ‘Delete’. A OpenAI se compromete a remover os arquivos de seus servidores dentro de 30 dias após a exclusão, embora a razão para esse prazo prolongado não esteja clara, podendo estar relacionada a questões legais. Essa nova funcionalidade pode impactar a forma como os usuários interagem com o ChatGPT, especialmente em termos de privacidade e armazenamento de dados.

Um documentário da BBC, intitulado ‘Inside the Rage Machine’, revelou que Meta e TikTok estariam permitindo a disseminação de conteúdos nocivos em suas plataformas para aumentar o engajamento dos usuários. Ex-funcionários das empresas relataram que, sob pressão para melhorar a interação, as direções das companhias incentivaram a inclusão de conteúdos como violência, misoginia e teorias da conspiração nos feeds. Um engenheiro da Meta mencionou que recebeu ordens para permitir esses conteúdos de forma ‘controlada’, justificando que a queda nas ações da empresa exigia tal abordagem. No TikTok, um funcionário destacou que as prioridades políticas estavam sendo priorizadas em detrimento de denúncias de conteúdos violentos, especialmente envolvendo crianças. O documentário também apontou que o Instagram, através do Reels, concentrou uma quantidade maior de discursos de ódio e assédio, com 75% a mais de bullying em comparação ao feed principal. Em resposta, Meta e TikTok negaram as acusações, afirmando que não promovem intencionalmente conteúdos nocivos. Essa situação levanta preocupações sobre a segurança digital e a responsabilidade das plataformas em moderar o conteúdo que promovem.

A Humana, uma das maiores seguradoras de saúde dos EUA, confirmou que notificou um número não divulgado de pessoas sobre uma violação de dados ocorrida em agosto de 2025. Os dados comprometidos incluem números de Seguro Social, informações de faturamento médico, datas de serviço, nomes de prestadores, números de identificação da Humana, números de contas de pacientes e informações de seguro de saúde. A subsidiária da Humana, Centerwell, também começou a emitir notificações sobre a violação. O procurador-geral do Texas relatou que 4.618 pessoas no estado foram notificadas. A violação foi atribuída a um grupo de cibercriminosos chamado Clop, que reivindicou a responsabilidade pelo ataque. A Humana ofereceu aos afetados 24 meses de monitoramento de crédito gratuito e serviços de restauração de identidade. O ataque foi causado por uma vulnerabilidade de software de um fornecedor, e a Humana não confirmou se pagou um resgate. O grupo Clop é conhecido por explorar vulnerabilidades de software e já realizou 456 ataques em 2025, com 119 deles relacionados a uma vulnerabilidade da Oracle. A situação destaca a crescente ameaça de ransomware no setor de saúde, que já afetou mais de 196 milhões de pessoas nos EUA.

Os hackers do TeamPCP, responsáveis pelo ataque à cadeia de suprimentos Trivy, continuam a direcionar suas ações contra a Aqua Security, comprometendo sua organização no GitHub e publicando imagens Docker maliciosas. O ataque, que ocorreu após a violação do pipeline de construção do GitHub do Trivy, resultou na entrega de malware voltado para roubo de informações. O Trivy, amplamente utilizado para detectar vulnerabilidades e configurações inadequadas, teve suas versões 0.69.5 e 0.69.6 publicadas sem correspondência nas liberações do GitHub, levantando suspeitas de comprometimento. A Aqua Security, após identificar a violação, lançou novas versões seguras do Trivy e contratou uma empresa de resposta a incidentes para investigar a situação. Apesar de novas atividades suspeitas terem sido detectadas, a empresa afirma que o Trivy não foi impactado. A análise sugere que o acesso dos hackers se deu por meio de uma conta de serviço com um token de acesso pessoal, que não possui proteção de autenticação multifatorial. A situação destaca a importância da segurança na cadeia de suprimentos e a necessidade de vigilância contínua em ambientes de desenvolvimento.

A plataforma de streaming de anime Crunchyroll está investigando um possível vazamento de dados após hackers afirmarem ter roubado informações pessoais de cerca de 6,8 milhões de usuários. A empresa confirmou que está colaborando com especialistas em cibersegurança para apurar a situação. O ataque teria ocorrido em 12 de março, quando os invasores acessaram a conta de SSO Okta de um agente de suporte da Crunchyroll, que trabalhava para a Telus International, uma empresa de terceirização de processos de negócios. Os hackers alegam ter utilizado malware para infectar o computador do agente e obter suas credenciais, o que lhes permitiu acessar diversas aplicações da Crunchyroll, incluindo Zendesk e Google Workspace. Com esse acesso, os atacantes teriam baixado 8 milhões de registros de tickets de suporte, dos quais 6,8 milhões continham endereços de e-mail únicos. Embora alguns dados de cartão de crédito tenham sido expostos, isso ocorreu apenas quando os clientes os compartilharam nos tickets de suporte. Os hackers também enviaram e-mails de extorsão à Crunchyroll, exigindo US$ 5 milhões para não divulgar os dados publicamente. Este incidente destaca a vulnerabilidade das empresas de terceirização, que têm se tornado alvos frequentes de ataques cibernéticos.

O grupo de hackers TeamPCP está direcionando ataques a clusters Kubernetes com um script malicioso que apaga todos os dados de máquinas configuradas para o Irã. Este grupo é responsável por um recente ataque à cadeia de suprimentos no scanner de vulnerabilidades Trivy e por uma campanha baseada em NPM chamada ‘CanisterWorm’, que começou em 20 de março. A nova campanha utiliza o mesmo código de comando e controle (C2) e o mesmo caminho de instalação do backdoor que foram observados nos incidentes anteriores do CanisterWorm, mas com uma diferença significativa: um payload destrutivo que visa especificamente sistemas iranianos. O malware é projetado para destruir qualquer máquina que corresponda ao fuso horário e à localidade do Irã, independentemente da presença do Kubernetes. Em sistemas identificados como iranianos, o script apaga todos os diretórios principais do sistema, enquanto em outros locais, ele instala um backdoor. A Aikido, empresa de segurança de aplicações, destaca que a nova versão do malware também utiliza propagação via SSH, buscando credenciais válidas em logs de autenticação. Os pesquisadores identificaram indicadores de atividade maliciosa, como conexões SSH de saída com configurações específicas e conexões ao Docker API. Este cenário representa uma ameaça significativa, especialmente para organizações que operam em ambientes Kubernetes.

A plataforma de phishing Tycoon2FA, que foi desmantelada em uma operação coordenada pela Europol e Microsoft em 4 de março de 2026, já voltou a operar em níveis normais. A ação resultou na apreensão de 330 domínios que faziam parte da infraestrutura da plataforma, incluindo painéis de controle e páginas de phishing. Apesar da interrupção inicial, a CrowdStrike observou que a atividade da Tycoon2FA retornou rapidamente aos níveis anteriores, com um aumento significativo na quantidade de e-mails de phishing enviados. A plataforma, que se especializa em atacar contas do Microsoft 365 e Gmail, utiliza técnicas de adversário no meio (adversary-in-the-middle) para contornar a autenticação de dois fatores (2FA). Desde sua primeira documentação há dois anos, a Tycoon2FA tem se mostrado um ator significativo no cenário de phishing, gerando cerca de 30 milhões de e-mails de phishing por mês. A operação policial não foi suficiente para desmantelar completamente a infraestrutura, e novas páginas de phishing foram rapidamente registradas. A CrowdStrike alerta que, sem prisões ou apreensões físicas, os cibercriminosos conseguem se recuperar facilmente, mantendo a demanda por serviços de phishing.

A Mazda Motor Corporation, uma das maiores montadoras do Japão, revelou que informações de seus funcionários e parceiros de negócios foram expostas em um incidente de segurança detectado em dezembro. Os atacantes exploraram uma vulnerabilidade em um sistema de gerenciamento de armazém relacionado a peças adquiridas da Tailândia. Embora a empresa tenha afirmado que não houve dados de clientes envolvidos e que a violação se limitou a 692 registros, os dados expostos incluem endereços de e-mail, nomes de empresas e IDs de parceiros comerciais. A Mazda notificou a Comissão de Proteção de Informações Pessoais do Japão e implementou medidas de segurança adicionais, como redução da exposição à internet e monitoramento intensificado de atividades suspeitas. Apesar de não ter detectado uso indevido das informações, a empresa alertou os indivíduos afetados para que permaneçam vigilantes contra ataques de phishing. Até o momento, nenhum grupo de ransomware reivindicou publicamente a responsabilidade pelo ataque, embora o grupo Clop tenha listado a Mazda em seu site de vazamentos em 2025, alegando ter comprometido a montadora e sua subsidiária nos EUA.

O grupo de ameaças da Coreia do Norte, conhecido como WaterPlum, está por trás da campanha Contagious Interview, que utiliza uma nova técnica de distribuição de malware chamada StoatWaffle. Essa técnica envolve o uso de projetos maliciosos do Microsoft Visual Studio Code (VS Code), especificamente através do arquivo ’tasks.json’, que ativa a execução do malware sempre que um arquivo na pasta do projeto é aberto. O malware verifica se o Node.js está instalado e, se não estiver, o baixa e instala. Em seguida, ele se conecta a um servidor externo para baixar um downloader que executa comandos maliciosos. O StoatWaffle possui dois módulos principais: um stealer que captura credenciais de navegadores e um trojan de acesso remoto (RAT) que permite o controle do sistema infectado. A campanha também inclui a distribuição de pacotes npm maliciosos e a inserção de código JavaScript em repositórios públicos do GitHub. Os atacantes utilizam processos de recrutamento falsos para enganar desenvolvedores, visando profissionais seniores em setores como criptomoedas. A Microsoft implementou medidas de mitigação para proteger os usuários do VS Code contra essa ameaça. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger sistemas de desenvolvimento.

O RPG gacha free-to-play Duet Night Abyss sofreu um ataque cibernético na última atualização, resultando na distribuição de um malware conhecido como Umbral Stealer. Este trojan é capaz de registrar teclas pressionadas, capturar imagens da webcam e roubar credenciais e criptomoedas dos jogadores. O incidente ocorreu no dia 18 de março de 2026, e a equipe do Pan Studio, responsável pelo jogo, agiu rapidamente para corrigir a vulnerabilidade, lançando uma atualização duas horas e meia após a infecção. O malware, que é uma versão antiga de 2023, foi automaticamente detectado e isolado por muitos antivírus. Como forma de compensação, a desenvolvedora ofereceu aos jogadores lootboxes, que incluem recompensas dentro do jogo. A equipe também se comprometeu a revisar a segurança do título e pediu paciência aos usuários enquanto implementam melhorias. Este incidente destaca a importância da segurança em jogos online, especialmente em plataformas populares como a Steam.

A Microsoft está lidando com um problema de serviço que tem impedido intermitentemente alguns usuários de acessar suas caixas de entrada do Exchange Online através dos aplicativos móveis do Outlook e do cliente de desktop para Mac desde quinta-feira. Após investigar o incidente, identificado como EX1256020, a empresa descobriu que a causa raiz foi uma nova conta virtual introduzida recentemente. No sábado, a Microsoft começou a reverter essa mudança como uma possível solução de longo prazo, após não conseguir resolver o problema reiniciando a infraestrutura afetada. A empresa confirmou que a alteração no serviço do Exchange Online, que visava introduzir uma nova conta virtual, resultou em impactos significativos. Embora a Microsoft não tenha especificado quais regiões ou quantos usuários foram afetados, classificou a interrupção como um incidente, o que geralmente se aplica a problemas críticos de serviço com impacto visível para os usuários. Este não é o primeiro incidente recente, já que uma semana antes, a Microsoft havia resolvido outra interrupção que impedia o acesso a caixas de entrada e calendários via Outlook na web e outros protocolos de conexão do Exchange Online.

A Varonis anunciou a disponibilidade do Varonis Atlas, uma plataforma de segurança de IA que abrange todo o ciclo de vida da segurança de IA, desde a descoberta até a proteção em tempo real e conformidade. Atlas se conecta a qualquer sistema de IA utilizado pelas organizações, como plataformas de IA hospedadas, modelos de linguagem personalizados e chatbots. A plataforma é construída sobre a Varonis Data Security Platform, oferecendo um contexto de dados que supera as ferramentas de segurança de IA isoladas.

A Microsoft emitiu um alerta sobre novas campanhas de phishing que estão explorando a temporada de impostos nos Estados Unidos para roubar credenciais e disseminar malware. Os ataques se disfarçam como notificações de reembolso, formulários de folha de pagamento e lembretes de declaração, visando tanto indivíduos quanto profissionais contábeis que lidam com dados financeiros sensíveis. As campanhas utilizam plataformas de Phishing-as-a-Service (PhaaS) para criar páginas falsas que imitam o login do Microsoft 365, além de empregar QR codes e links maliciosos. Uma campanha em larga escala afetou mais de 29.000 usuários em 10.000 organizações, com 95% dos alvos localizados nos EUA. Os e-mails fraudulentos, que se passavam pelo IRS, instruíam os destinatários a baixar um suposto ‘Visualizador de Transcrições do IRS’, levando a um site malicioso que instalava ferramentas de acesso remoto como ScreenConnect. Para se proteger, as organizações devem implementar autenticação de dois fatores (2FA), monitorar e escanear e-mails recebidos e bloquear acessos a domínios maliciosos.

O AWS Bedrock, plataforma da Amazon para desenvolvimento de aplicações com inteligência artificial, apresenta vulnerabilidades significativas que podem ser exploradas por atacantes. O artigo da XM Cyber detalha oito vetores de ataque que se aproveitam da conectividade do Bedrock com sistemas empresariais, como Salesforce e SharePoint. Esses vetores incluem ataques a logs de invocação de modelos, compromissos de bases de conhecimento, e manipulação de agentes autônomos. Por exemplo, um atacante pode redirecionar logs para um bucket controlado, permitindo a coleta silenciosa de dados sensíveis. Além disso, a degradação de guardrails, que são as defesas primárias do Bedrock, pode facilitar a manipulação do modelo, tornando-o vulnerável a conteúdos tóxicos e injeções de prompts maliciosos. A pesquisa destaca que a segurança do Bedrock depende da gestão rigorosa de permissões e da compreensão das integrações com dados empresariais. O artigo conclui que a proteção do Bedrock requer um mapeamento cuidadoso dos caminhos de ataque e controles rigorosos em toda a infraestrutura.

O cenário da cibersegurança continua alarmante, com sistemas considerados seguros sendo comprometidos de maneiras simples. Recentemente, o scanner de vulnerabilidades Trivy foi alvo de um ataque que injetou malware em suas versões oficiais, resultando na propagação de um worm autônomo chamado CanisterWorm. Além disso, uma operação do Departamento de Justiça dos EUA desmantelou botnets de IoT responsáveis por alguns dos maiores ataques DDoS, que afetaram dispositivos como câmeras IP e roteadores com credenciais fracas. Em outra frente, uma falha crítica no software Cisco FMC foi explorada por um ransomware, permitindo que atacantes executassem código malicioso remotamente. A velocidade com que as vulnerabilidades são exploradas está aumentando, como evidenciado por uma falha no Langflow que foi atacada apenas 20 horas após sua divulgação. O novo fluxo avançado de instalação de aplicativos no Android também foi introduzido para combater fraudes e malware, adicionando etapas de verificação. O artigo destaca a necessidade urgente de que as organizações revisem suas práticas de segurança e atualizem suas defesas para mitigar esses riscos.

A NordVPN lançou uma oferta exclusiva para leitores da TechRadar, válida por uma semana, que promete aumentar a segurança dos dados durante o feriado de primavera. A promoção, que começa em 23 de março, oferece até US$ 50 em cartões-presente da Amazon e 4 meses adicionais de cobertura ao adquirir planos de 2 anos. A NordVPN é reconhecida como a melhor VPN do mercado, com um preço mensal a partir de apenas US$ 2,91, o mais baixo desde a Black Friday. Além disso, a empresa tem aprimorado sua experiência móvel, expandindo o recurso de Proteção de Chamadas na Europa e introduzindo um layout de aplicativo mais limpo. O plano NordVPN Plus é recomendado, pois inclui recursos como gerenciamento de senhas com o NordPass, proteção contra ameaças e alertas de vazamento de dados. A promoção termina às 23h59 do dia 28 de março, e é uma oportunidade para quem busca segurança online a um preço acessível.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA corrigissem três vulnerabilidades do iOS, que estão sendo exploradas em ataques de roubo de criptomoedas e ciberespionagem, utilizando o kit de exploração DarkSword. Pesquisadores do Google e da iVerify identificaram uma cadeia de seis vulnerabilidades, incluindo CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520, que permitem a execução remota de código em iPhones não corrigidos. Embora a Apple já tenha lançado patches para essas falhas, dispositivos rodando iOS entre as versões 18.4 e 18.7 ainda estão vulneráveis. O DarkSword está associado a grupos de ameaças, como UNC6748 e UNC6353, que realizam ataques direcionados a usuários de iPhone em sites comprometidos. A CISA alertou que essas vulnerabilidades representam riscos significativos e recomendou que todas as organizações, incluindo as do setor privado, priorizem a segurança de seus dispositivos. O alerta destaca a necessidade de ações imediatas para mitigar os riscos associados a essas falhas.

O FBI dos EUA emitiu um alerta sobre hackers iranianos associados ao Ministério da Inteligência e Segurança do Irã, que estão utilizando o Telegram como infraestrutura de comando e controle em ataques de malware. Esses ataques visam jornalistas críticos ao governo iraniano, dissidentes e grupos opositores em todo o mundo. O FBI relacionou essas atividades ao grupo hacktivista Handala e ao grupo de ameaças Homeland Justice, ambos apoiados pelo estado iraniano. Os hackers empregam engenharia social para infectar dispositivos com malware para Windows, permitindo a exfiltração de capturas de tela e arquivos de computadores comprometidos. O alerta foi emitido em um contexto de tensão geopolítica no Oriente Médio e destaca a necessidade de conscientização sobre as atividades cibernéticas maliciosas iranianas. O FBI também confiscou quatro domínios utilizados por esses grupos para vazar documentos sensíveis. Além disso, o FBI advertiu sobre campanhas de phishing direcionadas a usuários do Signal e WhatsApp por atores ligados à inteligência russa, que já comprometeram milhares de contas. Essas ameaças ressaltam a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância contínua.

Uma grave vulnerabilidade de segurança, identificada como CVE-2025-32975, está sendo explorada por atores maliciosos em sistemas Quest KACE Systems Management Appliance (SMA) não atualizados. Com uma pontuação CVSS de 10.0, essa falha permite que atacantes contornem a autenticação e se façam passar por usuários legítimos, possibilitando a tomada de controle total de contas administrativas. A atividade maliciosa foi detectada pela Arctic Wolf, que observou tentativas de exploração a partir da semana de 9 de março de 2026, em ambientes de clientes expostos à internet. Os atacantes utilizam a vulnerabilidade para executar comandos remotos e implantar cargas úteis codificadas em Base64 a partir de um servidor externo. Além disso, foram identificadas modificações no Registro do Windows e a criação de contas administrativas adicionais. Para mitigar essa ameaça, é crucial que os administradores apliquem as atualizações mais recentes e evitem expor instâncias do SMA à internet. A falha foi corrigida em versões específicas do software lançadas em maio de 2025.

Pesquisadores de cibersegurança descobriram artefatos maliciosos distribuídos via Docker Hub após um ataque à cadeia de suprimentos do Trivy, um popular scanner de vulnerabilidades de código aberto mantido pela Aqua Security. As versões comprometidas 0.69.4, 0.69.5 e 0.69.6 foram removidas do repositório, sendo que a última versão limpa conhecida é a 0.69.3. O ataque permitiu que os invasores utilizassem credenciais comprometidas para inserir um ladrão de credenciais em versões trojanizadas do Trivy e em duas ações do GitHub relacionadas. Além disso, os atacantes conseguiram comprometer pacotes npm, distribuindo um worm autossustentável chamado CanisterWorm. O grupo responsável, identificado como TeamPCP, também defaceou repositórios internos da Aqua Security no GitHub, expondo-os publicamente. A análise forense sugere que um token de conta de serviço comprometido foi o vetor do ataque. A crescente sofisticação dos atacantes é evidenciada pela introdução de um novo malware que apaga clusters Kubernetes, especialmente em sistemas iranianos. Diante da gravidade do incidente, é crucial que as organizações revisem o uso do Trivy em seus pipelines de CI/CD e evitem as versões afetadas.

O Salt Typhoon é um grupo de hackers associado ao governo chinês, que ganhou notoriedade por suas invasões a infraestruturas críticas, incluindo uma recente violação da rede do FBI. Este grupo, que surgiu em 2020, se destaca por sua abordagem discreta e técnica, utilizando ataques indiretos através de roteadores de provedores de internet, o que dificulta a detecção por sistemas de segurança. Em 2024, o Salt Typhoon invadiu sistemas de telecomunicações como AT&T e Verizon, obtendo acesso a informações sensíveis sobre investigações governamentais. A violação do FBI permitiu que os hackers acessassem dados confidenciais, incluindo mandados da Lei de Vigilância de Inteligência Estrangeira (FISA), possibilitando a eles monitorar e até alterar informações sobre alvos de vigilância. Este incidente evidencia como a ciberespionagem pode impactar a segurança nacional e a integridade de informações estratégicas. A atuação do Salt Typhoon ressalta a necessidade de vigilância constante e de medidas de segurança robustas para proteger dados sensíveis em um mundo cada vez mais digital.

O VoidStealer é um novo infostealer que utiliza uma abordagem inovadora para contornar a Application-Bound Encryption (ABE) do Google Chrome, permitindo a extração da chave mestra necessária para decifrar dados sensíveis armazenados no navegador. Essa técnica, que se baseia em breakpoints de hardware, permite que o malware acesse diretamente a memória do navegador sem necessidade de elevação de privilégios ou injeção de código. O ABE foi introduzido na versão 127 do Chrome, em junho de 2024, como uma proteção para cookies e dados sensíveis, mas já foi burlado por diversas famílias de malware. O VoidStealer, que opera como uma plataforma de malware como serviço (MaaS) desde dezembro de 2025, é o primeiro a adotar essa técnica de bypass em um ambiente real. O ataque ocorre durante a inicialização do navegador, quando a chave mestra é temporariamente acessível em texto claro. Embora a técnica tenha sido inspirada em um projeto de código aberto, sua implementação no VoidStealer representa um avanço significativo na capacidade de roubo de dados. A situação é preocupante, pois o malware pode afetar uma ampla gama de usuários do Chrome, exigindo atenção redobrada das equipes de segurança.

O combate à pirataria na internet enfrenta desafios significativos, conforme evidenciado por casos como o de Anna’s Archive e plataformas de streaming como Stremio. A dificuldade em desmantelar sites piratas se deve à distinção entre domínios, servidores e acervos de dados. Quando um domínio é removido, os arquivos podem permanecer em servidores alternativos, permitindo que a pirataria se reinvente rapidamente. Os sites utilizam magnet links, que são textos simples que direcionam para torrents, facilitando a replicação de sua infraestrutura. Além disso, a hospedagem em servidores internacionais e na dark web complica a aplicação da lei, uma vez que as jurisdições variam e o rastreamento se torna mais difícil. A prisão de indivíduos envolvidos na pirataria nem sempre resulta em uma solução duradoura, pois muitos podem continuar a operar sob pseudônimos ou com código aberto. A demanda por conteúdo acessível e a alta dos preços de serviços legais perpetuam a pirataria, indicando que bloqueios pontuais não resolverão o problema. Para que a pirataria diminua, as empresas precisam abordar questões de acessibilidade e disponibilidade de seus serviços.

O scanner de vulnerabilidades Trivy, amplamente utilizado por desenvolvedores e equipes de segurança, foi alvo de um ataque supply-chain realizado pelo grupo de ameaças conhecido como TeamPCP. O ataque resultou na distribuição de malware que rouba credenciais através de versões oficiais e ações do GitHub. A vulnerabilidade foi inicialmente divulgada pelo pesquisador de segurança Paul McCarty, que alertou sobre a versão 0.69.4 do Trivy, que havia sido comprometida. Análises posteriores revelaram que quase todas as tags do repositório trivy-action no GitHub foram afetadas, permitindo que o código malicioso fosse executado automaticamente em fluxos de trabalho externos. Os atacantes conseguiram comprometer o processo de construção do GitHub, substituindo scripts legítimos por versões maliciosas. O malware coletou dados sensíveis, incluindo chaves SSH, credenciais de nuvem e arquivos de configuração, armazenando-os em um arquivo que era enviado para um servidor de comando e controle. O ataque, que durou cerca de 12 horas, expôs a necessidade urgente de as organizações que utilizaram as versões afetadas tratarem seus ambientes como totalmente comprometidos, rotacionando todas as credenciais e analisando sistemas para possíveis compromissos.

Os roteadores, muitas vezes negligenciados pelos usuários, são alvos preferenciais para hackers devido à sua posição central na rede doméstica. Ao comprometer um roteador, os cibercriminosos podem monitorar e manipular todo o tráfego de dados que passa por ele, sem a necessidade de invadir cada dispositivo individualmente. Um exemplo recente é o malware DKnife, que opera silenciosamente desde 2019, permitindo que hackers interceptem conexões e redirecionem usuários para sites falsos, como páginas de bancos, onde podem roubar credenciais. Além disso, o malware pode substituir downloads legítimos por versões infectadas, aumentando ainda mais o risco. A falta de proteção nos roteadores, que não possuem antivírus ou alertas visíveis, torna essa vulnerabilidade ainda mais crítica. Para proteger sua rede, é essencial que os usuários atualizem regularmente o firmware do roteador, alterem senhas padrão e utilizem firewalls adequados. A segurança da rede depende da proteção do elo mais fraco, que neste caso é o roteador.

O Google anunciou uma nova funcionalidade chamada Advanced Flow, que permitirá a instalação de APKs de desenvolvedores não verificados de forma mais segura no Android. Programada para ser lançada em agosto, essa nova abordagem visa minimizar os riscos de infecções por malware e fraudes, que causaram perdas estimadas em US$ 442 bilhões no último ano, segundo a Global Anti-Scam Alliance (GASA). Para instalar aplicativos de desenvolvedores não verificados, os usuários precisarão passar por um processo único que inclui ativar o Modo Desenvolvedor, confirmar que não estão sendo orientados por agentes maliciosos, reiniciar o dispositivo e reautenticar. Após um dia, eles devem confirmar a legitimidade das modificações. O sistema foi projetado para dificultar táticas de golpe que exploram a urgência, evitando que os usuários instalem software malicioso sob pressão. O Google também está implementando um sistema de verificação de identidade para todos os desenvolvedores de aplicativos Android, que entrará em vigor em agosto de 2026. Essa medida é uma resposta à crescente sofisticação do malware e à necessidade de proteger os usuários em um ambiente digital cada vez mais arriscado.

Recentemente, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) e o FBI alertaram sobre campanhas de phishing conduzidas por atores associados aos serviços de inteligência da Rússia. Essas campanhas têm como alvo aplicativos de mensagens comerciais (CMAs) como WhatsApp e Signal, visando indivíduos de alto valor de inteligência, incluindo oficiais do governo dos EUA, militares, figuras políticas e jornalistas. Os ataques resultaram no comprometimento de milhares de contas, permitindo que os invasores visualizassem mensagens, listas de contatos e enviassem mensagens em nome das vítimas. Importante ressaltar que os ataques não exploram vulnerabilidades de segurança, mas sim utilizam engenharia social para enganar as vítimas a fornecerem códigos de verificação ou a clicarem em links maliciosos. A C4, centro de coordenação de crises cibernéticas da França, também emitiu um alerta sobre o aumento dessas campanhas. Para se proteger, os usuários devem evitar compartilhar códigos de verificação e ter cautela ao receber mensagens inesperadas. A Signal enfatizou que nunca solicitará códigos de verificação por mensagens diretas ou redes sociais, alertando que qualquer solicitação desse tipo é uma fraude.

Um ataque à cadeia de suprimentos visando o popular scanner Trivy resultou na infecção de diversos pacotes npm por um novo malware chamado CanisterWorm. Este worm se propaga automaticamente e utiliza um canister da Internet Computer blockchain como ponto de controle. O ataque foi atribuído ao grupo criminoso TeamPCP, que publicou versões maliciosas do Trivy contendo um ladrão de credenciais. A infecção ocorre através de um hook postinstall que executa um loader, instalando um backdoor em Python que se conecta ao canister para buscar novos payloads. O malware é projetado para ser resiliente, utilizando um serviço systemd que reinicia automaticamente o backdoor. Além disso, uma nova variante do CanisterWorm foi identificada, que se propaga sem intervenção manual, coletando tokens npm do ambiente do desenvolvedor. A situação é crítica, pois cada desenvolvedor que instala pacotes infectados pode se tornar um vetor de propagação, ampliando o alcance do ataque. Este incidente destaca a vulnerabilidade dos sistemas de gerenciamento de pacotes e a necessidade urgente de medidas de segurança mais robustas.

A Kingston apresentou o IronKey Locker+ 50 G2, um pen drive USB com criptografia de hardware XTS-AES de 256 bits, que atende aos padrões de conformidade FIPS 197, frequentemente exigidos em contratos governamentais e empresariais. Este dispositivo é projetado para proteger dados sensíveis, utilizando firmware digitalmente assinado para minimizar riscos de ataques do tipo BadUSB. O IronKey Locker+ 50 G2 oferece múltiplos modos de senha, permitindo combinações complexas e frases mais longas, o que facilita a memorização sem comprometer a segurança. Além disso, possui um teclado virtual para evitar a captura de teclas e um revestimento anti-impressão digital, focado na durabilidade física. Com capacidade que varia de 32 GB a 256 GB e velocidades de leitura de até 145 MB/s, o dispositivo é compatível com Windows 11 e macOS, sem necessidade de instalação de software adicional. A configuração é simples, embora a exigência de letras de unidade consecutivas possa limitar algumas configurações de sistema. O IronKey Locker+ 50 G2 é uma solução robusta para empresas e usuários que buscam segurança avançada para seus dados.

A Operação Alice, uma ação internacional de combate ao cibercrime, resultou no fechamento de mais de 373 mil sites na dark web que ofereciam pacotes fraudulentos de material de abuso sexual infantil (CSAM). A investigação, liderada pela Alemanha e apoiada pela Europol, começou em meados de 2021 e focou em uma plataforma chamada ‘Alice with Violence CP’, operada por um suspeito de 35 anos na China. Os sites enganavam os usuários ao mostrar prévias de pacotes de CSAM, cobrando entre 17 e 250 euros em Bitcoin, mas nunca entregando o material prometido. Aproximadamente 10 mil usuários foram enganados, resultando em um prejuízo de cerca de 400 mil dólares para os operadores. Embora os usuários não tenham recebido o material ilegal, suas tentativas de compra demonstram intenção criminosa, o que pode levar a processos em várias jurisdições. A infraestrutura da rede de fraudes incluía 287 servidores, dos quais 105 estavam na Alemanha, todos agora apreendidos. As autoridades alemãs emitiram um mandado de prisão internacional para o operador chinês. A Europol também destacou suas iniciativas de proteção infantil, como a plataforma Help4U e a campanha ‘Stop Child Abuse – Trace an Object’.

O FBI emitiu um alerta público informando que atores de ameaças ligados à inteligência russa estão atacando usuários de aplicativos de mensagens criptografadas, como Signal e WhatsApp, por meio de campanhas de phishing que já comprometeram milhares de contas. Este é o primeiro reconhecimento público que vincula essas campanhas diretamente aos serviços de inteligência da Rússia. Os ataques visam contornar as proteções da criptografia de ponta a ponta não quebrando a criptografia, mas sim por meio de sequestros de contas. Os atacantes podem acessar mensagens privadas, listas de contatos e até se passar pelas vítimas para lançar novas campanhas de phishing. O FBI destaca que os alvos principais incluem indivíduos com acesso a informações sensíveis, como funcionários do governo dos EUA, militares, figuras políticas e jornalistas. As autoridades de cibersegurança da França e da Holanda também emitiram alertas semelhantes, enfatizando que os ataques são amplos e em andamento em vários países. Os usuários são aconselhados a desconfiar de mensagens inesperadas e a nunca compartilhar códigos de verificação ou escanear QR codes suspeitos.

O Trivy, um scanner de vulnerabilidades de código aberto mantido pela Aqua Security, sofreu sua segunda violação em um mês, resultando na entrega de malware que rouba segredos sensíveis de CI/CD. O incidente mais recente afetou as ações do GitHub ‘aquasecurity/trivy-action’ e ‘aquasecurity/setup-trivy’, utilizadas para escanear imagens de contêiner Docker e configurar fluxos de trabalho no GitHub. Um atacante forçou a modificação de 75 das 76 tags de versão no repositório ‘aquasecurity/trivy-action’, transformando referências de versões confiáveis em um mecanismo de distribuição para um infostealer. O malware, que opera em três etapas, busca extrair segredos valiosos de ambientes de CI/CD, como chaves SSH e credenciais de provedores de serviços em nuvem. O ataque é atribuído a um grupo conhecido como TeamPCP, que se especializa em roubo de dados na nuvem. Os usuários são aconselhados a usar versões seguras e a tratar todos os segredos de pipeline como comprometidos se estiverem usando versões afetadas. Medidas de mitigação incluem bloquear o domínio de exfiltração e monitorar contas do GitHub em busca de repositórios suspeitos.

Sasha-Jay Davies, uma jovem britânica de 19 anos, se tornou vítima de catfishing, uma prática onde indivíduos roubam a identidade de outra pessoa na internet para enganar outros usuários. O caso de Davies é alarmante, pois um perfil falso que usava suas fotos e informações pessoais acumulou mais de 81 mil seguidores no TikTok e 22 mil no Instagram. O impostor, que atuou por quase quatro anos, não apenas gerou constrangimento para Davies, mas também a colocou em situações perigosas, como ser confrontada por pessoas que acreditavam que ela era a responsável por encontros que nunca ocorreram. Apesar da gravidade da situação, a polícia afirmou que pouco poderia ser feito, já que o ato não envolvia extorsão ou ameaças diretas, o que levanta questões sobre a eficácia das leis atuais em lidar com crimes virtuais. Especialistas alertam que a prevenção é crucial, recomendando que os usuários limitem a exposição de informações pessoais e adotem práticas de segurança, como senhas fortes e autenticação em duas etapas. O caso destaca a necessidade urgente de uma legislação mais robusta para lidar com crimes de identidade na era digital.

O uso de ferramentas de inteligência artificial para clonar vozes está se tornando uma realidade preocupante, especialmente em golpes financeiros. Giovanni La Porta, CEO da vortice.ai, destacou em entrevista que criminosos estão utilizando ligações silenciosas para coletar amostras de voz de suas vítimas. Após alguns segundos de conversa, a voz clonada é utilizada para enviar mensagens de áudio pelo WhatsApp, imitando a voz de um familiar ou amigo e solicitando transferências de dinheiro. Essa nova abordagem elimina a desconfiança que normalmente acompanha mensagens de texto, tornando os golpes mais eficazes. A evolução dos deepfakes, que antes eram facilmente identificáveis, agora permite a clonagem de vozes com apenas alguns segundos de áudio. La Porta também mencionou casos em que deepfakes foram usados em reuniões corporativas, levando a decisões baseadas em instruções falsas. Embora a criação de deepfakes não seja, por si só, um crime, o uso malicioso desse tipo de tecnologia levanta preocupações legais e éticas, especialmente no contexto da LGPD no Brasil.

As tensões geopolíticas estão se refletindo cada vez mais no ciberespaço, com ataques motivados pela desestabilização em vez de lucro financeiro. Grupos de atores estatais, como os iranianos, têm utilizado malware destrutivo, conhecido como wiper, para causar caos operacional em organizações e infraestruturas críticas. Um exemplo recente é o ataque do grupo Handala à Stryker, que resultou na destruição de milhares de dispositivos e na interrupção das operações em 79 países. Para os líderes de segurança, a questão não é apenas como prevenir intrusões, mas como sobreviver a elas. O artigo apresenta uma estratégia em cinco etapas para os CISOs, focando na contenção e no controle interno. As etapas incluem: impedir o roubo de credenciais, prevenir o movimento lateral através de portas administrativas, restringir contas privilegiadas, detectar caminhos de acesso não autorizados e conter atividades destrutivas rapidamente. A eficácia dessas medidas depende da capacidade de limitar o movimento dos atacantes dentro da rede, uma vez que a maioria dos ataques destrutivos não requer malware sofisticado, mas sim acesso irrestrito.

A Sansec alertou sobre uma falha de segurança crítica na API REST do Magento, que pode permitir que atacantes não autenticados façam upload de executáveis arbitrários, resultando em execução de código e possível tomada de conta. Denominada PolyShell, a vulnerabilidade se aproveita do fato de que o Magento aceita uploads de arquivos como parte das opções personalizadas de itens no carrinho. A falha afeta todas as versões do Magento Open Source e Adobe Commerce até a versão 2.4.9-alpha2. Embora a Adobe tenha corrigido o problema na versão pré-lançamento 2.4.9, as versões em produção permanecem vulneráveis. Para mitigar riscos, recomenda-se restringir o acesso ao diretório de uploads e verificar as regras do servidor web. Além disso, a Sansec observou uma campanha em andamento que comprometeu e desfigurou milhares de sites de e-commerce Magento, afetando grandes marcas globais. A situação destaca a necessidade urgente de ações corretivas por parte de administradores de sistemas e CISOs para proteger suas infraestruturas contra possíveis explorações dessa vulnerabilidade.

A Inteligência Artificial (IA) está transformando a forma como indivíduos e organizações enfrentam ameaças cibernéticas, especialmente no que diz respeito a ataques de phishing e malware. Os cibercriminosos estão utilizando IA para criar e-mails de phishing personalizados e deepfakes, além de desenvolver malware que consegue evitar a detecção tradicional, imitando comportamentos normais de usuários. Isso torna os modelos de segurança baseados em regras insuficientes para proteger identidades contra essas ameaças habilitadas por IA. Os ataques baseados em IA introduzem riscos distintos, como phishing automatizado e abuso de credenciais, que se adaptam para evitar detecções. Para enfrentar esses desafios, as análises comportamentais precisam evoluir, passando de um monitoramento simples para um modelo de risco dinâmico e baseado em identidade, capaz de identificar inconsistências em tempo real. A segurança deve se estender por toda a infraestrutura, adotando um modelo de segurança de confiança zero, onde nenhum usuário ou dispositivo é automaticamente confiável. Além disso, a proteção de identidades deve incluir análises comportamentais contínuas e controles de acesso granulares, especialmente em ambientes híbridos e multi-nuvem.

O Google anunciou uma nova funcionalidade para o sistema Android que introduz um fluxo avançado para a instalação de aplicativos de desenvolvedores não verificados, exigindo um período de espera obrigatório de 24 horas. Essa mudança visa equilibrar a abertura da plataforma com a segurança dos usuários, especialmente em um contexto onde a verificação de desenvolvedores se tornou obrigatória. O objetivo é identificar rapidamente atores maliciosos e impedir a distribuição de malware. A nova abordagem permite que usuários experientes instalem aplicativos não verificados após habilitar o modo desenvolvedor, confirmar que estão agindo por conta própria, reiniciar o dispositivo e passar por uma autenticação biométrica ou PIN. Essa medida busca dificultar ataques cibernéticos, como os que envolvem a manipulação de permissões para desativar o Play Protect, a ferramenta anti-malware do Google. Apesar das intenções de segurança, a nova política gerou críticas de mais de 50 desenvolvedores e organizações, que expressaram preocupações sobre privacidade e barreiras de entrada. O Google também planeja oferecer contas de distribuição limitada para desenvolvedores amadores, permitindo que compartilhem aplicativos sem a necessidade de identificação oficial. Essas mudanças estão programadas para serem implementadas em agosto de 2026.

Uma vulnerabilidade crítica no Langflow, identificada como CVE-2026-33017, foi explorada ativamente apenas 20 horas após sua divulgação pública. Com uma pontuação CVSS de 9.3, a falha resulta de uma combinação de falta de autenticação e injeção de código, permitindo a execução remota de código sem autenticação. O endpoint vulnerável, /api/v1/build_public_tmp/{flow_id}/flow, permite a construção de fluxos públicos sem exigir autenticação, o que possibilita que atacantes enviem dados controlados por eles, incluindo código Python arbitrário. A exploração bem-sucedida pode permitir que um invasor execute código com privilégios totais do servidor, acessando variáveis de ambiente e arquivos sensíveis.

O aumento da adoção de agentes de inteligência artificial (IA) nas empresas do Reino Unido está gerando preocupações significativas em relação à segurança cibernética. De acordo com o relatório Cyber Pulse da Microsoft, 62% das empresas britânicas já utilizam agentes de IA, um aumento de 22% em relação ao ano anterior. Apesar de 84% dos líderes empresariais reconhecerem que agentes de IA não autorizados representam um risco sério, a visibilidade sobre o uso desses agentes não está acompanhando o crescimento. A falta de gerenciamento adequado cria pontos cegos para as equipes de segurança, especialmente quando esses agentes operam de forma autônoma em diferentes redes e dispositivos. As prioridades das equipes de segurança incluem garantir visibilidade sobre onde os agentes estão operando, introduzir esses agentes de forma segura nos sistemas existentes e assegurar que atendam aos requisitos de conformidade e auditoria. A Microsoft sugere que as empresas tratem os agentes de IA como identidades gerenciadas, aplicando princípios de zero trust e acesso com privilégios mínimos para mitigar riscos enquanto continuam a inovar.

Um homem da Carolina do Norte foi condenado por extorquir a Brightly Software, uma empresa de tecnologia baseada em Washington, D.C., enquanto ainda trabalhava como analista de dados. Cameron Curry, de 27 anos, aproveitou seu acesso a informações sensíveis da empresa para roubar documentos e ameaçar vazar dados pessoais de funcionários, exigindo um resgate de 2,5 milhões de dólares. Após o término de seu contrato em dezembro de 2023, ele enviou mais de 60 e-mails de extorsão, incluindo informações pessoais identificáveis (PII) de funcionários, como nomes e endereços. A Brightly pagou 7.540 dólares em Bitcoin para evitar a divulgação dos dados. O FBI prendeu Curry em janeiro de 2024, e ele enfrenta até 12 anos de prisão. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a importância de proteger informações sensíveis, especialmente em um cenário de crescente criminalidade cibernética. Além disso, a Brightly já havia notificado seus clientes sobre um vazamento de dados anterior, afetando quase 3 milhões de usuários, o que levanta preocupações sobre a segurança de dados na era digital.

A Microsoft confirmou que a atualização cumulativa KB5079473, lançada em março, está causando problemas de login em várias aplicações que utilizam contas Microsoft, como Teams, OneDrive, Edge, Excel e Word. Após a instalação dessa atualização, os usuários estão recebendo mensagens de erro que indicam que seus dispositivos não estão conectados à Internet, mesmo quando estão. A empresa esclareceu que o problema afeta apenas operações de login com contas Microsoft, não impactando empresas que utilizam Entra ID para autenticação. Para contornar a situação, a Microsoft sugere que os usuários reiniciem seus dispositivos enquanto permanecem conectados à Internet, o que pode resolver temporariamente o problema. Além disso, a Microsoft lançou atualizações de emergência para corrigir falhas de segurança e problemas de visibilidade de dispositivos Bluetooth em versões específicas do Windows 11. A situação destaca a importância de monitorar atualizações e suas consequências, especialmente em ambientes corporativos que dependem de ferramentas Microsoft.

Autoridades dos Estados Unidos, Alemanha e Canadá realizaram uma operação conjunta para desmantelar a infraestrutura de Comando e Controle (C2) utilizada pelas botnets Aisuru, KimWolf, JackSkid e Mossad, que infectavam dispositivos da Internet das Coisas (IoT). Essa ação visou servidores virtuais, domínios da internet e outras infraestruturas que possibilitaram a realização de centenas de milhares de ataques de negação de serviço distribuído (DDoS) em todo o mundo, incluindo endereços IP pertencentes à rede de informações do Departamento de Defesa dos EUA. A botnet Aisuru, por exemplo, estabeleceu um recorde em dezembro com um ataque DDoS que atingiu 31,4 Tbps e 200 milhões de requisições por segundo, afetando principalmente empresas do setor de telecomunicações. As investigações revelaram que essas botnets infectaram mais de três milhões de dispositivos IoT, como câmeras de segurança e roteadores WiFi, muitos localizados nos EUA. Os operadores das botnets vendiam acesso a outros cibercriminosos, permitindo ataques que resultaram em perdas financeiras significativas. A operação conjunta teve como objetivo interromper as comunicações associadas a essas botnets e prevenir novas infecções.

O músico Michael Smith, da Carolina do Norte, se declarou culpado por um esquema de fraude de royalties que arrecadou mais de R$ 10 milhões através de plataformas de streaming como Spotify, Apple Music, Amazon Music e YouTube Music. Smith, de 54 anos, adquiriu centenas de milhares de músicas geradas por inteligência artificial (IA) e as carregou nessas plataformas. Para inflacionar artificialmente as estatísticas de audição, ele utilizou bots de IA que reproduziram as faixas bilhões de vezes entre 2017 e 2024. Documentos judiciais revelaram que ele colaborou com um promotor musical não identificado e o CEO de uma empresa de música baseada em IA para evitar a detecção dos sistemas antifraude, utilizando redes privadas virtuais (VPNs). Em um e-mail de 2018, Smith destacou a necessidade de criar um grande volume de conteúdo com pequenas quantidades de streams para contornar as políticas antifraude. No auge da operação, ele operava mais de 1.000 contas de bots, estimando que cada bot poderia gerar cerca de 661.440 streams por dia. Smith concordou em pagar mais de R$ 8 milhões em confisco e enfrenta uma pena máxima de 5 anos de prisão por conspiração para cometer fraude eletrônica. O caso levanta preocupações sobre a integridade das plataformas de streaming e o impacto de fraudes semelhantes na indústria musical.

O Departamento de Justiça dos EUA anunciou a desarticulação de infraestruturas de comando e controle (C2) de várias botnets de Internet das Coisas (IoT), incluindo AISURU, Kimwolf, JackSkid e Mossad. Essa operação, que contou com a colaboração de autoridades do Canadá e da Alemanha, resultou na interrupção de ataques de negação de serviço distribuído (DDoS) que alcançaram picos de até 30 Terabits por segundo. As botnets, que infectaram mais de 3 milhões de dispositivos em todo o mundo, foram responsáveis por ataques massivos, como o de 31,4 Tbps em novembro de 2025. O Kimwolf, em particular, destacou-se por explorar redes proxy residenciais, permitindo acesso a dispositivos tradicionalmente protegidos. A operação envolveu empresas de tecnologia como Amazon Web Services e Cloudflare, que auxiliaram na investigação e mitigação dos ataques. Embora a desarticulação tenha sido um avanço significativo, especialistas alertam que a resiliência das botnets e a proliferação de novas variantes continuam a representar um risco elevado para a segurança cibernética global.

Um estudo da Jscrambler revelou que as plataformas Meta e TikTok estão coletando dados sensíveis dos usuários sem o devido consentimento, utilizando pixels de rastreamento de anúncios. Entre as informações coletadas estão dados sobre cartões de crédito, nomes completos, comportamentos online e geolocalização, mesmo quando os usuários optam por não compartilhar essas informações. A coleta ocorre no momento em que o usuário interage com anúncios ou visita sites de anunciantes, o que pode configurar uma violação das leis de privacidade de dados, como a LGPD no Brasil. Em resposta, representantes da Meta e do TikTok negaram as acusações, alegando que as práticas estão em conformidade com as políticas de privacidade e as leis locais. A utilização de pixels de rastreamento, que são pequenos trechos de código JavaScript, é uma prática comum entre empresas que buscam maximizar o retorno sobre investimento em publicidade, mas levanta sérias preocupações sobre a privacidade dos usuários. O estudo também aponta que 9% dos sites utilizam o pixel de rastreamento da Meta, enquanto 0,7% usam o do TikTok, evidenciando a amplitude do problema.

Um novo malware chamado Perseus está causando preocupação entre especialistas em cibersegurança, pois se concentra na coleta de informações sensíveis armazenadas em aplicativos de notas no Android. Ao invés de focar em credenciais bancárias, o Perseus realiza uma varredura em busca de senhas e frases de recuperação, utilizando táticas de engenharia social para obter controle total do dispositivo da vítima. O malware é distribuído por meio de aplicativos disfarçados de serviços de IPTV, que são frequentemente baixados fora das lojas oficiais, facilitando a infecção. Uma vez instalado, o Perseus utiliza serviços de acessibilidade do Android para acessar e ler o conteúdo dos aplicativos de notas sem gerar alertas de segurança. Além disso, ele captura telas e simula toques, permitindo que os hackers monitorem as atividades em tempo real. A ameaça é considerada silenciosa e pode afetar aplicativos populares como Google Keep e Evernote, tornando-se um risco significativo para a privacidade dos usuários.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

A Bitrefill, uma plataforma de e-commerce que permite a compra de cartões-presente com criptomoedas, sofreu um ataque cibernético no início do mês, supostamente perpetrado pelo grupo de hackers norte-coreano Bluenoroff. Durante a investigação, a empresa identificou semelhanças com ataques anteriores atribuídos a esse grupo, incluindo o uso de malware específico e endereços IP e e-mails reutilizados. O ataque foi originado a partir de um laptop comprometido de um funcionário, onde os atacantes conseguiram roubar credenciais e acessar informações sensíveis, incluindo partes da infraestrutura da Bitrefill e algumas carteiras de criptomoedas. Aproximadamente 18.500 registros de compras, que continham endereços de e-mail e IP de clientes, foram expostos, embora a empresa tenha assegurado que os saldos dos usuários não foram afetados. A Bitrefill, que opera em 150 países e suporta mais de 600 operadores móveis, está implementando medidas de segurança adicionais e revisando seus controles de acesso. Apesar da gravidade do ataque, a empresa conseguiu minimizar as perdas, que serão cobertas por seu capital. A Bitrefill acredita que os atacantes estavam mais interessados em criptomoedas e no estoque de cartões-presente do que nas informações dos clientes.

Uma nova vulnerabilidade, chamada ‘PolyShell’, foi descoberta e afeta todas as versões estáveis 2 do Magento Open Source e do Adobe Commerce. Essa falha permite a execução de código não autenticado e a tomada de controle de contas. Embora não haja evidências de exploração ativa até o momento, a empresa de segurança eCommerce Sansec alerta que métodos de exploração já estão circulando, prevendo que ataques automatizados possam começar em breve. A Adobe lançou uma correção, mas ela está disponível apenas na segunda versão alfa da versão 2.4.9, deixando as versões de produção vulneráveis. A vulnerabilidade está relacionada à API REST do Magento, que aceita uploads de arquivos como parte das opções personalizadas para itens do carrinho. Quando um produto tem uma opção do tipo ‘arquivo’, o Magento processa um objeto file_info embutido que contém dados de arquivo codificados em base64, tipo MIME e nome do arquivo, escrevendo-o no servidor. A Sansec observou que muitos sites expõem arquivos no diretório de upload, aumentando o risco de execução remota de código ou tomada de conta via XSS armazenado. Até que a Adobe disponibilize um patch para as versões de produção, recomenda-se que os administradores de lojas restrinjam o acesso ao diretório pub/media/custom_options/, verifiquem as regras do servidor web e realizem varreduras em busca de shells e malware.