Cibersegurança

A corrida armamentista da IA e o papel do open source na cibersegurança

A evolução da cibersegurança está em um ponto de inflexão com a introdução da inteligência artificial (IA), que não apenas aprimora as ferramentas de defesa, mas também acelera a capacidade de ataque. Um relatório da CrowdStrike revela que o tempo médio para invasores acessarem dados sigilosos caiu para 29 minutos, um aumento de 65% em relação ao ano anterior. Além disso, 82% das detecções foram livres de malware, indicando que os hackers estão utilizando credenciais válidas e integrações legítimas para realizar ataques. A IBM reportou um aumento de 89% nas atividades ilegais relacionadas à IA, com 1 em cada 6 violações envolvendo o uso dessa tecnologia. Nesse contexto, a segurança preemptiva, que antecipa ameaças por meio da análise contínua, se torna essencial. O código aberto surge como uma solução estratégica, oferecendo transparência e colaboração, mas exige maturidade organizacional para evitar riscos, como demonstrado pelo incidente com a biblioteca XZ Utils. A convergência entre IA e open source pode ser uma oportunidade para as organizações que buscam se adaptar a um ambiente de ameaças em constante evolução.

Vulnerabilidade no Gravity SMTP do WordPress expõe dados em 100 mil sites

Uma vulnerabilidade de divulgação de informações não autenticadas no plugin Gravity SMTP do WordPress está sendo explorada ativamente por agentes maliciosos, afetando cerca de 100 mil sites. A falha, identificada como CVE-2026-4020, possui uma classificação de severidade média e afeta todas as versões do plugin anteriores à 2.1.5, que foi lançada em 17 de março para corrigir o problema. A vulnerabilidade se origina de um endpoint da API REST exposto, que permite requisições GET não autenticadas, possibilitando o acesso a um relatório de sistema abrangente que pode conter chaves de API, credenciais de serviços de e-mail e detalhes de configuração do WordPress. A empresa de segurança Defiant, responsável pelo firewall Wordfence, relatou que mais de 17 milhões de tentativas de exploração foram bloqueadas. Apesar da classificação média, a possibilidade de exploração sem autenticação torna a vulnerabilidade crítica, pois pode permitir que atacantes se façam passar por vítimas e acessem informações sensíveis. Além disso, a empresa também alertou sobre uma vulnerabilidade crítica em outro plugin, o Avada Builder, que permite a exclusão arbitrária de arquivos, exigindo atenção imediata dos administradores de sites.

Grupo Icarus rouba dados do Salesforce em ataque à Klue

A plataforma de inteligência de mercado Klue confirmou um incidente de segurança que resultou no roubo de tokens OAuth utilizados para conectar-se aos ambientes Salesforce de seus clientes. O ataque foi reivindicado publicamente pelo grupo de extorsão Icarus, que acessou dados de várias organizações ao explorar integrações comprometidas da Klue. O CEO da Klue, Jason Smith, informou que a atividade não autorizada foi detectada em 12 de junho, quando um credencial legado comprometido foi utilizado para obter acesso aos tokens OAuth. Embora a Klue tenha revogado imediatamente as credenciais afetadas e iniciado uma investigação, o grupo Icarus pressionou as organizações afetadas a contatá-los para evitar a divulgação de dados roubados. Entre as vítimas estão empresas como Huntress e ReliaQuest, que confirmaram a exfiltração de dados sensíveis, incluindo informações de contatos comerciais e comunicações de vendas. O incidente destaca a vulnerabilidade das integrações de terceiros e a necessidade de vigilância contínua contra ataques de engenharia social e phishing, que podem ser facilitados pelo acesso a informações roubadas.

Grupo de ransomware Gentlemen desenvolve ferramentas para burlar EDRs

O grupo de ransomware Gentlemen, que opera como um serviço (RaaS), tem se destacado por desenvolver uma série de ferramentas para desativar sistemas de detecção e resposta de endpoint (EDR) antes de implementar seu software de criptografia. Conhecido como GentleKiller, esse conjunto de ferramentas é distribuído a afiliados e inclui variantes que imitam produtos legítimos de segurança, utilizando informações falsas de versão e certificados copiados. Desde sua aparição em março de 2025, o grupo já reivindicou 504 vítimas, principalmente na Ásia, América do Sul e Europa Ocidental. O líder da operação, Alexander Andreevich Yapaev, tem um histórico como afiliado em outros esquemas de ransomware. A equipe de segurança da ESET destacou a agilidade do grupo em operacionalizar novas vulnerabilidades, especialmente a técnica chamada ‘bring your own vulnerable driver’ (BYOVD), que permite a exploração de drivers vulneráveis para comprometer sistemas. Além disso, o Gentlemen também utiliza um ladrão de credenciais baseado em Rust, chamado OxideHarvest, que coleta dados de navegadores populares. A centralização da função de desativação de EDRs torna o grupo atraente para novos afiliados, reduzindo as barreiras de entrada e facilitando a execução de ataques.

Exploit usbliter8 compromete chips A12 e A13 da Apple

Pesquisadores de segurança da Paradigm Shift divulgaram um exploit chamado usbliter8, que permite a execução de código arbitrário no SecureROM dos chips A12 e A13 da Apple. Essa vulnerabilidade é crítica, pois o código está gravado no silício durante a fabricação e não pode ser corrigido por atualizações de software. O ataque requer acesso físico ao dispositivo, que deve estar em modo DFU e conectado a uma placa microcontroladora específica. Os dispositivos afetados incluem iPhones XS, 11, SE (2ª geração), iPads de 3ª e 5ª geração, e Apple Watch Series 4 e 5. O problema raiz é uma falha no controlador USB da Synopsys, que permite um buffer underflow, possibilitando que o ponteiro de escrita acesse e sobrescreva a SRAM. Após a exploração, o usbliter8 injeta um manipulador de requisições USB personalizado, permitindo que um atacante desative temporariamente o modo de produção do SoC ou inicialize uma imagem iBoot não assinada, contornando a cadeia de confiança da Apple. Embora a pesquisa não indique comprometimento do Secure Enclave, a possibilidade de controle no nível do BootROM pode abrir novas rotas de ataque. Para ambientes de alta segurança, a recomendação é evitar o uso de dispositivos afetados em situações não confiáveis.

Golpes em apostas aumentam durante a Copa do Mundo de 2026

A Copa do Mundo de 2026 trouxe um aumento significativo nos golpes virtuais, especialmente aqueles relacionados à venda de ingressos e apostas. Criminosos estão utilizando técnicas de engenharia social para manipular usuários, criando páginas falsas que imitam sites legítimos e enviando mensagens enganosas via WhatsApp e SMS. As fraudes mais comuns incluem a clonagem de sites oficiais, ofertas de ingressos a preços muito baixos e aplicativos falsos que prometem acesso gratuito a jogos. Segundo a Hexa Security, o ambiente de grandes eventos esportivos é propício para essas fraudes, devido ao alto volume de transações financeiras e ao engajamento do público. Para se proteger, especialistas recomendam que os consumidores verifiquem a autenticidade dos sites digitando os endereços manualmente e evitem links recebidos por mensagens. Além disso, a utilização de senhas fortes e a ativação da autenticação em dois fatores são medidas essenciais para proteger dados financeiros. Empresas também devem estar atentas, pois se tornam alvos frequentes durante esses eventos, necessitando revisar permissões de acesso e investir em monitoramento contínuo.

Proibição de redes sociais na Austrália mostra falhas em medidas de segurança infantil no Reino U...

A recente proibição de redes sociais para menores de 16 anos na Austrália levanta questões sobre a eficácia de medidas semelhantes que o Reino Unido pretende implementar. Apesar da intenção de proteger crianças e adolescentes, dados revelam que cerca de 70% dos jovens australianos ainda possuem contas ativas em plataformas como Snapchat e Instagram, mesmo com a nova legislação. A pesquisa da Molly Rose Foundation indica que a maioria dos entrevistados não percebeu melhorias na segurança online desde a proibição, com muitos afirmando que a situação se tornou até mais insegura. A resistência a essa abordagem vem não apenas da indústria de tecnologia de privacidade, mas também de grupos de segurança infantil, que argumentam que a proibição pode ser um retrocesso na proteção online. A falta de verificação de idade efetiva por parte das plataformas é apontada como uma das principais razões para a ineficácia da medida. Com o Reino Unido planejando adotar um modelo semelhante, especialistas alertam que a implementação de verificações obrigatórias de idade pode resultar em um ‘desastre de cibersegurança’. A situação destaca a necessidade de abordagens mais eficazes e menos invasivas para garantir a segurança das crianças na internet.

A Segurança de Identidade em Tempos de Agentes de IA

Nos últimos anos, as equipes de segurança concentraram seus esforços na premissa de que, ao controlar identidades, é possível controlar riscos. No entanto, a introdução de agentes de inteligência artificial (IA) nas empresas está desafiando essa abordagem. Inicialmente vistos como ferramentas de produtividade, esses agentes agora estão conectados a serviços críticos, como Salesforce e GitHub, e atuam de forma autônoma ou em nome de humanos, criando um novo nível de complexidade em segurança. A falta de modelos de governança para esses agentes resulta em um cenário de acesso amplo e visibilidade baixa, onde 82% das organizações identificaram agentes de IA criados sem o conhecimento das equipes de segurança. A segurança deve ir além da simples permissão, considerando a intenção dos agentes e o que eles realmente podem acessar. A governança contínua é essencial para evitar que esses agentes se tornem caminhos invisíveis para ataques. O artigo destaca a importância de visibilidade e controle sobre esses novos atores, sugerindo que as empresas que adotarem uma abordagem proativa em relação à segurança de agentes de IA estarão mais bem posicionadas para inovar de forma segura.

Vazamento de dados no Texas afeta mais de 3 milhões de pessoas

O Departamento de Parques e Vida Selvagem do Texas (TPWD) revelou um vazamento de dados em seu fornecedor de sistema de licenciamento, que expôs informações pessoais de mais de três milhões de indivíduos. A intrusão foi descoberta pelo Comando Cibernético do Texas, que iniciou uma investigação para avaliar a extensão do acesso não autorizado. Embora números de Seguro Social, datas de nascimento e informações financeiras não tenham sido comprometidos, dados pessoais identificáveis, como informações de carteira de motorista, números de passaporte, endereços de e-mail, números de telefone e endereços residenciais, foram expostos. Isso pode facilitar ataques de phishing e engenharia social, onde hackers podem tentar enganar as vítimas para obter informações mais sensíveis. O TPWD não encontrou evidências de que clientes menores de 18 anos tenham sido afetados ou que um grupo específico tenha sido alvo. A agência está colaborando com o fornecedor para implementar novas medidas de segurança e recomenda que os indivíduos afetados monitorem seus relatórios de crédito e considerem medidas adicionais de proteção, como congelamento de crédito. O incidente destaca a importância da vigilância contínua contra fraudes e ataques cibernéticos.

Autoridades desmantelam infraestrutura maliciosa do SocGholish

As autoridades de segurança da Holanda, em colaboração com o Canadá, Alemanha e EUA, desmantelaram a infraestrutura maliciosa associada ao malware SocGholish, resultando na limpeza de quase 15.000 sites WordPress infectados. O malware, que atua como um downloader baseado em JavaScript, é conhecido por distribuir outras ameaças cibernéticas, como ransomware e espionagem. Desde 2017, o SocGholish tem se espalhado por meio de sites comprometidos, disfarçando-se como atualizações enganosas de navegadores populares. A operação, parte da ‘Operação Endgame’, visa combater botnets e infraestruturas criminosas. Os proprietários dos sites afetados foram alertados para atualizar seus sistemas de gerenciamento de conteúdo e alterar credenciais. A análise indica que a maioria dos sites comprometidos está localizada nos EUA, seguida por países como Alemanha, França e Brasil. O uso de técnicas como ‘Domain Shadowing’ tem facilitado a operação do malware, tornando a detecção mais difícil. A ameaça é considerada de alto risco, afetando diversos setores e exigindo atenção especial dos CISOs, especialmente em relação à conformidade com a LGPD.

Microsoft revela vulnerabilidade AutoJack em agente de navegação AI

Pesquisadores da Microsoft identificaram uma cadeia de exploração chamada AutoJack, que transforma um agente de navegação AI em um veículo para execução remota de código. O ataque ocorre quando o agente carrega uma página da web maliciosa, permitindo que o JavaScript dessa página acesse um serviço local privilegiado e inicie um processo no host, sem necessidade de credenciais ou interação do usuário. A vulnerabilidade reside no AutoGen Studio, uma interface de prototipagem de código aberto, e afeta versões pré-lançamento específicas. A Microsoft esclareceu que a versão estável atual (0.4.2.2) não é vulnerável, mas as versões 0.4.3.dev1 e 0.4.3.dev2, disponíveis no PyPI, contêm a falha. A cadeia de exploração se baseia em três fraquezas: a confiança no localhost, a falta de autenticação em conexões MCP e a execução de comandos diretamente de parâmetros de requisição. Embora a Microsoft não tenha registrado exploração ativa, recomenda-se que os usuários evitem executar o AutoGen Studio em máquinas que também executem agentes de navegação ou de execução de código que acessem conteúdo não confiável. A correção foi implementada no código-fonte, mas ainda não está disponível em uma versão do PyPI.

Salesforce desativa integração do Klue após incidente de segurança

A Salesforce anunciou a desativação da integração do aplicativo Klue Battlecards em sua plataforma após um incidente de segurança que ocorreu em 11 de junho de 2026. A medida foi tomada após a detecção de atividades incomuns que poderiam ter resultado em acesso não autorizado a dados de clientes. O ataque foi atribuído ao grupo de extorsão Icarus, que comprometeu dados de clientes da Klue, incluindo a empresa de cibersegurança Huntress. Embora dados sensíveis como senhas e informações de pagamento não tenham sido afetados, informações comerciais e de vendas foram copiadas. A Klue identificou que os atacantes acessaram sua infraestrutura por meio de credenciais legadas comprometidas, permitindo a coleta de tokens OAuth utilizados para conectar a Klue a plataformas de terceiros, como a Salesforce. A Klue já tomou medidas para revogar credenciais afetadas e desativar integrações potencialmente impactadas. A situação destaca a vulnerabilidade das integrações de terceiros e a necessidade de monitoramento rigoroso dessas conexões, que muitas vezes têm acesso amplo a dados sensíveis.

Homem de Nova York enfrenta acusações de ciberstalking com IA

Anthony Belford, um homem de 21 anos de Nova York, foi indiciado por ciberstalking após supostamente compartilhar imagens nuas geradas por IA e mensagens racistas fabricadas para assediar uma estudante universitária da Geórgia. Belford e a vítima frequentaram a mesma faculdade durante o ano acadêmico de 2023-2024. Após a transferência da vítima para uma instituição na Geórgia em agosto de 2024, Belford começou a persegui-la online. Entre janeiro e março de 2025, ele criou perfis falsos em diversas redes sociais, como Instagram e LinkedIn, para se passar pela vítima e disseminar imagens nuas geradas por IA, além de alegações falsas sobre comentários racistas atribuídos à estudante. O Departamento de Justiça dos EUA enfatizou que a lei federal proíbe a divulgação de imagens íntimas sem consentimento, incluindo aquelas geradas por IA, e encorajou as vítimas a reportarem tais violações ao FBI. Este caso destaca a crescente preocupação com o uso de tecnologias de IA para facilitar o assédio online e a importância de medidas de proteção e denúncia para as vítimas.

Nintendo confirma roubo de dados de pesquisa, mas sistemas não foram comprometidos

A Nintendo of America confirmou que dados de pesquisa interna foram roubados por um grupo de cibercriminosos conhecido como Shadowbyt3$. A empresa esclareceu que seus sistemas não foram comprometidos e que nenhuma informação pessoal de clientes ou dados financeiros foi acessada. O incidente envolve dados de uma plataforma de terceiros, TinyPulse, utilizada para pesquisas anônimas com funcionários. A Nintendo informou que está colaborando com o provedor do serviço para resolver a questão. O grupo Shadowbyt3$ reivindica ter exfiltrado cerca de 1GB de dados, incluindo nomes completos, endereços de e-mail e informações de funcionários, e exige um resgate de 2 milhões de dólares. Embora a Nintendo tenha afirmado que o vazamento não afeta seus jogos, o grupo ameaçou divulgar mais informações se não houver negociação. A situação destaca a importância de proteger dados sensíveis, especialmente em plataformas de terceiros, e levanta preocupações sobre a segurança de informações internas em empresas de grande porte.

Ransomware Gentlemen desenvolve ferramentas para evitar detecção

O ransomware Gentlemen, operando como um serviço (RaaS), está aprimorando suas capacidades com um conjunto de ferramentas projetadas para desativar sistemas de detecção e resposta de endpoint (EDR). A principal ferramenta, chamada GentleKiller, possui pelo menos oito variantes que se disfarçam como produtos de segurança legítimos, como Kaspersky e Valorant. Essas ferramentas são utilizadas para neutralizar defesas durante os ataques, permitindo que processos de roubo ou criptografia de dados ocorram sem obstáculos. A técnica ‘bring your own vulnerable driver’ (BYOVD) é empregada para elevar privilégios e desativar motores de segurança, com cada variante do GentleKiller utilizando drivers vulneráveis diferentes para alcançar privilégios de nível kernel. A análise indica que o grupo também utiliza ferramentas externas, como HexKiller e ThrottleBlood, para aumentar a eficácia de seus ataques. O Gentlemen RaaS já comprometeu a fornecedora de energia romena Oltenia e está associado a uma botnet de malware proxy chamada SystemBC. Dada a complexidade e a sofisticação das ferramentas utilizadas, a ameaça representa um risco significativo para empresas que utilizam as tecnologias afetadas.

Golpes de identidade ameaçam quase R 2 bilhões no Brasil

Um estudo da Serasa Experian revelou que tentativas de fraudes com identidade digital poderiam causar prejuízos de até R$ 1,98 bilhão no Brasil no primeiro trimestre de 2026, caso não fossem bloqueadas. O levantamento identificou quase 1,5 milhão de tentativas de fraudes em cadastros e validações de identidade, um aumento de 36,6% em relação ao mesmo período do ano anterior. Os meios de pagamento foram os mais afetados, com 644,5 mil ocorrências, seguidos por telefonia e serviços bancários. A região Sudeste concentrou a maior parte das tentativas, com São Paulo liderando com mais de 230 mil casos. A pesquisa também destacou o uso crescente de inteligência artificial por golpistas, que torna as fraudes mais convincentes, utilizando técnicas como deepfakes e manipulação de buscas. No comércio eletrônico, quase 1% das transações foi classificado como tentativa de fraude, resultando em R$ 337,9 milhões preservados por soluções antifraude. O estudo alerta para a necessidade de uma resposta estruturada e coordenada para combater esse ecossistema de fraudes digitais.

Inteligência Artificial aumenta risco de golpes por telefone, alerta Serasa

Golpes por telefone permanecem uma preocupação significativa no Brasil, especialmente com o avanço da inteligência artificial (IA), que torna essas fraudes mais difíceis de identificar. Rodrigo Sanchez, diretor da Serasa Experian, destacou que a IA permite que criminosos criem abordagens mais convincentes, simulando centrais de atendimento e utilizando informações reais sobre as vítimas, como nome e compras recentes. Isso representa um desafio crescente para a segurança cibernética, pois as ligações fraudulentas podem parecer cada vez mais legítimas. A pesquisa ‘Mapa da Fraude’ da Serasa revelou que tentativas de fraudes com identidade digital poderiam causar prejuízos de até R$ 1,98 bilhão no primeiro trimestre de 2026, caso não fossem bloqueadas. Além disso, foram registradas quase 1,5 milhão de tentativas de fraudes em cadastros e validações de identidade, um aumento de 36,6% em relação ao ano anterior. A recomendação é que os consumidores desconfiem de ligações que solicitem dados pessoais e confirmem a veracidade do contato através de canais oficiais.

Especialistas revelam rede de fraude de trabalhadores de TI da Coreia do Norte

Um relatório da Nisos revelou uma operação de fraude de emprego em larga escala, patrocinada pelo governo da Coreia do Norte, que visa infiltrar agentes em empresas de tecnologia dos Estados Unidos. Entre dezembro de 2024 e setembro de 2025, 22 operativos submeteram mais de 166 mil candidaturas, resultando em mais de 21 mil entrevistas e 76 ofertas de emprego. A operação utilizou identidades roubadas, ferramentas de inteligência artificial (IA) e até mesmo representantes locais para aumentar a legitimidade das candidaturas. Os fraudadores focaram principalmente em cargos de engenharia de software e dados, com salários variando de US$ 55 mil a US$ 230 mil. A Nisos destacou que essa abordagem combina engano humano com táticas técnicas e recursos de IA, permitindo que esses agentes não apenas recebam salários, mas também acessem sistemas e dados, gerando receita para o regime norte-coreano. O uso de IA para criar currículos, treinar para entrevistas e gerar respostas em tempo real foi fundamental para o sucesso da operação, que representa uma evolução significativa nas táticas de cibercrime.

ExpressVPN renova visual e avança em IA com nova versão de aplicativos

A ExpressVPN lançou a versão 14.2.0 de seus aplicativos para desktop, incluindo Mac, Windows e Linux, com um design renovado e melhorias funcionais. A atualização, disponibilizada em 17 de junho de 2026, traz uma interface mais limpa, que abre em modo compacto por padrão, facilitando a navegação e a leitura. Além disso, a seção de complementos foi aprimorada, tornando mais fácil encontrar e utilizar as opções disponíveis. Uma das adições mais significativas é o servidor MCP (Model Context Protocol), que permite que ferramentas de codificação baseadas em IA controlem a conexão VPN diretamente do ambiente de desenvolvimento. Essa funcionalidade é especialmente útil para desenvolvedores que utilizam assistentes de IA, pois elimina a necessidade de alternar entre diferentes interfaces para gerenciar a conexão. A atualização também inclui melhorias na acessibilidade, como melhor suporte para leitores de tela e foco no teclado. Embora as mudanças sejam principalmente visuais, a nova funcionalidade de controle de latência em segundo plano e a integração com ferramentas de IA representam um avanço significativo para a experiência do usuário.

Plugins do WordPress da ShapedPlugin comprometidos em ataque supply chain

Um ataque de supply chain comprometeu múltiplos plugins pagos da ShapedPlugin, um fornecedor de plugins para WordPress, que afeta mais de 400 mil instalações ativas. O malware, distribuído através do sistema oficial de atualizações da empresa, instala um plugin falso que se passa por componentes do WooCommerce, permitindo o roubo de credenciais e acesso remoto a arquivos. O incidente afetou três plugins: Product Slider Pro, Real Testimonials Pro e Smart Post Show Pro, com a injeção do backdoor ocorrendo em 21 de maio e os primeiros relatos de clientes surgindo em 10 de junho. A ShapedPlugin reconheceu a violação em 16 de junho e iniciou uma investigação, implementando medidas corretivas. O malware, uma vez ativado, se comunica com um servidor de comando e controle, baixa um segundo estágio e se autodeleta para apagar rastros. O WordPress está monitorando o incidente sob os CVEs CVE-2026-10735 e CVE-2026-49777. Administradores de sites afetados são aconselhados a redefinir senhas e revisar listas de usuários.

Agências internacionais combatem botnet SocGholish e limpam sites WordPress

Agências internacionais de segurança, incluindo Europol e Eurojust, realizaram uma operação conjunta chamada Operation Endgame, que resultou na limpeza de quase 15.000 sites WordPress infectados por malware e na desativação de mais de 100 servidores associados ao grupo de cibercrime russo Evil Corp. A operação, que envolveu autoridades da Holanda, Canadá, Estados Unidos e Alemanha, focou na interrupção da cadeia de infecção ligada ao malware SocGholish. Este malware, que atua como um downloader de JavaScript, tem sido utilizado em ataques desde 2017, enganando usuários a baixarem atualizações falsas de navegadores que, na verdade, são cargas maliciosas. O malware permite que os atacantes acessem sistemas infectados e é conhecido por implantar outras famílias de malware, como Dridex e Doppelpaymer. As autoridades também recomendaram que os proprietários dos sites afetados alterassem suas credenciais, ativassem a autenticação multifatorial e mantivessem seus sites atualizados para evitar novas infecções. A operação representa um esforço significativo para mitigar os riscos de ataques cibernéticos em infraestruturas críticas e proteger a segurança digital de cidadãos e organizações em todo o mundo.

Microsoft 365 Proteção de Dados e a Necessidade de Soluções de Terceiros

O artigo de Andy Kerr, da Acronis, destaca que muitas organizações acreditam que o Microsoft 365 oferece proteção automática para seus dados, mas isso não é verdade. O modelo de responsabilidade compartilhada da Microsoft implica que a segurança dos dados, incluindo backup e recuperação, é responsabilidade do cliente. Essa lacuna se torna crítica em cenários reais, como ataques de ransomware, exclusões acidentais e ameaças internas. O autor apresenta cinco razões principais pelas quais o backup nativo do Microsoft 365 não é suficiente: 1) Falta de proteção contra ransomware e perda de dados maliciosos; 2) Políticas de retenção nativas inadequadas para conformidade; 3) Recuperação granular limitada; 4) Exposição a phishing e ameaças internas; 5) Escalabilidade de custo ineficiente. Para mitigar esses riscos, a adoção de soluções de terceiros, como a Acronis Cyber Platform, é recomendada, pois oferece armazenamento imutável, detecção de ransomware baseada em IA e recuperação rápida. Assim, as organizações podem garantir a integridade e a segurança de seus dados no Microsoft 365.

Grupo Icarus rouba dados do Salesforce em ataque à Klue

A plataforma de inteligência de mercado Klue sofreu uma violação de segurança relacionada ao OAuth, permitindo que o grupo de ameaças conhecido como ‘Icarus’ roubasse dados do Salesforce CRM de várias organizações. O ataque foi confirmado por empresas de cibersegurança, como ReliaQuest e Huntress, que relataram que seus dados do Salesforce foram comprometidos. Em resposta, a Salesforce desativou a integração do Klue Battlecards com sua plataforma. Os atacantes acessaram contas de serviço da integração do Klue e utilizaram tokens OAuth para realizar consultas na API REST do Salesforce, resultando em um roubo de dados que incluiu informações críticas como contatos comerciais e comunicações de vendas. O grupo Icarus, que começou a operar em abril de 2026, já começou a enviar e-mails de extorsão para as vítimas do ataque. A Klue desativou as integrações com várias plataformas enquanto investiga o incidente. As organizações afetadas são aconselhadas a revisar logs e revogar tokens OAuth para mitigar riscos futuros.

Ameaça de malware rouba criptomoedas usando rede Tor

Atacantes estão direcionando suas ações a carteiras de criptomoedas, utilizando um malware que rouba dados do clipboard e possui capacidades de auto-propagação. A campanha, que está ativa desde fevereiro, utiliza arquivos LNK em drives USB para disseminar o malware, que monitora o conteúdo do clipboard e substitui endereços de carteiras de criptomoedas por aqueles controlados pelos atacantes. Além disso, o malware é capaz de capturar frases-semente e chaves privadas, enviando essas informações através da rede Tor. O processo de infecção se inicia quando a vítima abre o arquivo LNK, ativando o malware. Este realiza uma varredura local em busca de arquivos de documentos, ocultando os originais e substituindo-os por atalhos maliciosos. O malware também captura capturas de tela a cada dez segundos e estabelece comunicação com um servidor de comando e controle (C2) via um executável Tor. A Microsoft alerta que os indicadores mais fortes de infecção são comportamentais, recomendando monitorar atividades de processos como wscript.exe e conexões com o localhost:9050. Essa ameaça representa um risco significativo para usuários de criptomoedas, especialmente em um cenário onde a segurança digital é cada vez mais crucial.

Grupo de ransomware INC se torna uma ameaça crescente em 2026

Pesquisadores em cibersegurança observaram a evolução do grupo de ransomware INC, que se tornou um dos mais ativos em 2026, com pelo menos 830 vítimas desde agosto de 2023. A interrupção de operações como LockBit e BlackCat permitiu que o INC expandisse suas atividades, com 65% das vítimas localizadas nos Estados Unidos, abrangendo setores como serviços jurídicos, manufatura, construção, tecnologia e saúde. O ransomware do INC, desenvolvido em Rust, visa facilitar o desenvolvimento multiplataforma e resistir a esforços de engenharia reversa. Os ataques são caracterizados pelo uso de um dumper de credenciais atualizado, capaz de atingir novas implementações de backup da Veeam. A cadeia de ataque do INC inclui acesso inicial por meio de phishing, compra de credenciais e exploração de vulnerabilidades em aplicações públicas. O grupo utiliza uma variedade de ferramentas para movimentação lateral e exfiltração de dados, culminando na criptografia de informações. A análise indica que o INC se destaca por sua capacidade de escalar operações sem depender de técnicas avançadas, resultando em um fluxo constante de vítimas em diversos setores e geografias.

Cibersegurança A Internet Usada de Forma Prejudicial

Recentemente, a cibersegurança enfrentou uma série de incidentes alarmantes que demonstram a vulnerabilidade da infraestrutura digital. Entre os problemas destacados, extensões de navegador enganosas foram identificadas, redirecionando buscas de usuários para intermediários de monetização, comprometendo a privacidade e segurança. Além disso, um ataque sofisticado no macOS, denominado ClickFix, utiliza um método sem arquivos para roubar informações, deixando poucos rastros. Os criminosos cibernéticos também abusaram de plataformas de chat, como a Claude, para disseminar malware que rouba credenciais. Outra preocupação é a fraude via WhatsApp, onde golpistas se passam por hotéis para obter dados de pagamento de viajantes. Em resposta a essas ameaças, a Amazon lançou o AWS Continuum, um agente de segurança baseado em IA para gerenciar vulnerabilidades de código. O cenário é preocupante, com um aumento significativo de ataques direcionados e técnicas de engenharia social, exigindo atenção redobrada das organizações para proteger seus dados e sistemas.

Ataque massivo a firewalls da Fortinet pode afetar 75 mil usuários

Um novo incidente de segurança cibernética, denominado ‘FortiBleed’, foi descoberto pelo pesquisador Bob Diachenko, revelando um vazamento de credenciais de VPN da Fortinet que pode afetar cerca de 75 mil usuários. O arquivo encontrado contém nomes de usuários, endereços de e-mail e senhas em texto claro de grandes empresas, como Chevron, Samsung e Toyota. O ataque foi realizado por um ator de ameaças de língua russa, que utilizou técnicas de força bruta e exploração ativa, realizando mais de 1,1 bilhão de tentativas de credenciais contra mais de 320 mil instâncias do FortiGate. Apesar de a Fortinet afirmar que os dados vazados são uma reedição de incidentes anteriores e não de uma nova violação, recomenda-se que as organizações afetadas realizem a rotação de senhas e implementem autenticação multifator (MFA) para mitigar riscos. O incidente destaca a vulnerabilidade de sistemas amplamente utilizados e a necessidade de práticas de segurança robustas.

Microsoft corrige falhas de atualização de segurança no Windows Server 2016

A Microsoft anunciou a correção de um problema que impedia a instalação das atualizações de segurança de junho de 2026 em sistemas Windows Server 2016 que não estavam atualizados. O erro, identificado como 0x80070002 ou FILE_NOT_FOUND, afetava principalmente os clientes que tentavam instalar a atualização KB5094122 sem ter previamente instalado a atualização de segurança KB5087537 do mês anterior. A empresa confirmou que a instalação da atualização de segurança agora foi resolvida e que os dispositivos afetados não devem mais enfrentar falhas ao implantar a atualização KB5094122. Além disso, a Microsoft também abordou problemas semelhantes em outras atualizações, como a de maio de 2026 para Windows 11, que resultou em erros devido à falta de espaço no EFI System Partition. A empresa continua a investigar outros problemas relacionados a atualizações que podem impactar a funcionalidade de aplicativos do Office após a instalação das atualizações de junho de 2026.

F5 lança atualizações de segurança para vulnerabilidades críticas do NGINX

A empresa de cibersegurança F5 divulgou atualizações de segurança para corrigir várias vulnerabilidades no servidor web NGINX, incluindo duas falhas de gravidade crítica. As vulnerabilidades, identificadas como CVE-2026-42530 e CVE-2026-42055, podem ser exploradas por atacantes remotos não autenticados, permitindo a execução de código ou ataques de negação de serviço (DoS) em sistemas NGINX com configurações não padrão. A exploração bem-sucedida resulta em problemas como uso após liberação e estouro de buffer, levando à reinicialização do processo do NGINX. A F5 também lançou correções para outros produtos NGINX afetados, como NGINX Plus e NGINX Open Source. Para administradores que não podem aplicar as atualizações imediatamente, foram sugeridas medidas de mitigação, como desabilitar o HTTP/3 e ajustar configurações específicas. Embora a F5 não tenha indicado que essas vulnerabilidades estejam sendo ativamente exploradas, a empresa tem um histórico de ser alvo de grupos de cibercrime e ameaças de estado. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) já sinalizou várias vulnerabilidades da F5 como exploradas ativamente, com implicações significativas para a segurança das redes corporativas.

Governo da Índia bloqueia Telegram por vazamento de provas

O governo indiano informou ao Tribunal Superior de Delhi que o Telegram foi alertado cerca de duas semanas antes de ser bloqueado, devido à sua incapacidade de detectar proativamente canais que vendiam provas vazadas do exame NEET-UG 2026, um importante teste de admissão médica no país. O bloqueio, que ocorreu antes do exame nacional, afetou usuários do Telegram não apenas na Índia, mas também em outros países, como os Emirados Árabes Unidos, devido a um vazamento de rota BGP. O Telegram contestou a legalidade do bloqueio, afirmando que cooperou com as autoridades. O governo, por sua vez, alegou que não bloqueou o aplicativo de forma total, mas tomou medidas restritivas após receber várias reclamações sobre o uso da plataforma para fraudes relacionadas ao exame. A situação se agravou com a declaração do CEO do Telegram, Pavel Durov, que culpou a operadora de telecomunicações Reliance por um suposto sabotagem, o que foi negado pela empresa. O bloqueio deve ser revisto pelo tribunal, enquanto os usuários ainda podem acessar o Telegram através de um proxy MTProto.

Avaliação da Reflectiz em Conformidade com PCI DSS

Um avaliador independente de PCI testou a plataforma Reflectiz em relação às novas regras do PCI DSS, revelando que a ferramenta pode apoiar efetivamente a conformidade. O artigo destaca a vulnerabilidade das páginas de checkout, que frequentemente carregam scripts de terceiros que podem ser comprometidos por atacantes, como demonstrado pelo grupo Magecart. O PCI DSS v4.0.1 introduziu requisitos que exigem um inventário de scripts de pagamento e a detecção de adulterações em tempo real. A Reflectiz se destaca por monitorar o comportamento dos scripts, não apenas suas assinaturas, e por ser implementada sem a necessidade de alterações de código. Além disso, fornece evidências prontas para auditoria. O artigo também menciona que, desde janeiro de 2025, comerciantes que utilizam redirecionamento completo para processadores podem não precisar cumprir certos requisitos, mas aqueles que incorporam iframes de pagamento devem demonstrar que não são suscetíveis a ataques de script. A análise completa está disponível em um white paper da Integrity360 Europe.

Riscos Ocultos de Acesso em Ferramentas de IA nas Empresas

O artigo da Hacker News destaca os riscos de segurança associados ao uso de ferramentas de inteligência artificial (IA) nas empresas, especialmente em relação a agentes autônomos que interagem com a propriedade intelectual. Muitas organizações enfrentam um problema de ‘dívida administrativa’, onde ferramentas de IA permanecem ativas mesmo após a saída de seus criadores, mantendo acesso irrestrito a dados sensíveis. Isso ocorre porque as ferramentas de segurança tradicionais tratam a IA como software comum, sem considerar que essas ferramentas podem operar de forma autônoma e continuar acessando informações após a revogação das credenciais do usuário original. O artigo enfatiza a necessidade de um controle mais rigoroso sobre as identidades humanas e de máquina, propondo um webinar que abordará como identificar e gerenciar essas ferramentas não documentadas, além de discutir a importância de revogar acessos antes que possam ser explorados por atacantes. O evento promete fornecer uma visão prática sobre como as empresas podem melhorar sua segurança em um cenário cada vez mais dominado pela IA.

Hackers romenos criam armadilha de phishing em grande escala

Uma campanha de phishing em larga escala, orquestrada por hackers romenos, afetou quase 9 milhões de endereços de e-mail no Reino Unido, oferecendo amostras de beleza falsas da Boots. Os atacantes utilizaram um site governamental boliviano comprometido para hospedar uma página de checkout fraudulenta, coletando informações pessoais e de pagamento dos usuários. Os e-mails, que pareciam legítimos, incentivavam os destinatários a preencher uma pesquisa em troca de um pacote de amostras de beleza. A operação foi facilitada por um servidor de uma empresa britânica que havia sido comprometido, permitindo que os hackers enviassem mensagens diretamente da conexão de internet da organização, ocultando sua infraestrutura. A Huntress, empresa de segurança cibernética, identificou que a campanha não apenas visava a Boots, mas também incluía temas relacionados a impostos e criptomoedas, sugerindo uma operação mais ampla. O uso de um aplicativo legítimo de envio em massa, o Gammadyne Mailer, e a configuração para maximizar a velocidade de envio, foram aspectos críticos dessa operação de phishing.

Microsoft trabalha em patch para vulnerabilidade do Defender

A Microsoft anunciou que está desenvolvendo um patch para corrigir uma vulnerabilidade zero-day em seu software de segurança, o Microsoft Defender, identificada como RoguePlanet (CVE-2026-50656), com uma pontuação CVSS de 7.8. Essa falha é classificada como uma vulnerabilidade de elevação de privilégios, permitindo que atacantes obtenham acesso ao nível de sistema. O pesquisador de segurança Chaotic Eclipse revelou a vulnerabilidade, descrevendo-a como uma condição de corrida que pode ser explorada em algumas máquinas com uma taxa de sucesso de 100%, enquanto em outras pode falhar. Ele também observou que o exploit funciona independentemente da proteção em tempo real estar ativada ou não. A Microsoft confirmou que está ciente da vulnerabilidade e está investigando a situação. RoguePlanet é a quarta vulnerabilidade do Defender divulgada por Chaotic Eclipse, que já havia reportado outras falhas que foram corrigidas pela empresa. A situação destaca a importância de manter os sistemas atualizados e a necessidade de vigilância contínua em relação a novas ameaças.

Cuidado, gamers Steam Workshop é usado para espalhar malware

Pesquisadores da Kaspersky alertaram que o Steam Workshop, uma plataforma popular entre gamers para compartilhar conteúdo personalizado, está sendo explorado para disseminar malware através do aplicativo Wallpaper Engine. Desde pelo menos o final de 2025, wallpapers maliciosos foram baixados dezenas de milhares de vezes, infectando usuários com backdoors, infostealers, miners e até ransomware. Os hackers utilizam wallpapers interativos que, ao serem instalados, executam automaticamente o malware, que pode estar embutido no pacote ou em arquivos compactados protegidos por senha. Embora a Valve tenha removido as aplicações infectadas, a possibilidade de novos uploads maliciosos persiste, exigindo cautela dos usuários. A maioria das vítimas está localizada na Rússia e na China, mas a ameaça pode se espalhar globalmente, afetando gamers em todo o mundo.

Aumento de Ataques de Tomada de Conta e Como Proteger Identidades

As organizações enfrentam um desafio crescente na gestão de identidades, tanto humanas quanto não-humanas, em ambientes de trabalho híbridos e com acesso de terceiros. Com a expansão do trabalho remoto e do uso de dispositivos pessoais, as equipes de segurança estão perdendo visibilidade sobre quem tem acesso a quais recursos e se esse acesso é confiável. Os atacantes estão explorando essa complexidade, utilizando técnicas como o ‘MFA fatigue’, onde enviam repetidamente solicitações de autenticação multifatorial até que o usuário aceite uma delas. Além disso, ataques de phishing evoluíram, utilizando domínios legítimos e conteúdo gerado por IA para criar páginas de login falsas que imitam portais reais. A proteção das credenciais é essencial, pois 44,7% das violações de dados envolvem credenciais roubadas. Para mitigar esses riscos, soluções como o Specops Device Trust são recomendadas, pois oferecem verificação contínua de dispositivos e autenticação baseada em confiança, permitindo que as organizações mantenham um controle mais rigoroso sobre o acesso sem comprometer a experiência do usuário.

Vazamento de dados FortiBleed expõe credenciais de VPN da Fortinet

Um novo vazamento de dados, denominado ‘FortiBleed’, revelou credenciais de VPN da Fortinet e FortiGate de 73.932 URLs de firewall em organizações ao redor do mundo. O pesquisador de segurança Bob Diachenko descobriu um servidor contendo credenciais válidas, incluindo nomes de usuário, endereços de e-mail e senhas em texto simples. Entre as empresas afetadas estão Chevron, Samsung, Foxconn e AT&T. A operação foi supostamente realizada por um grupo de ameaças de língua russa, que realizou mais de 1,16 bilhões de tentativas de credenciais contra alvos da FortiGate. Os atacantes interceptaram hashes de autenticação SSL VPN e os quebraram usando um cluster de 45 GPUs. O vazamento também inclui informações sobre a indústria, receita e número de funcionários de cada organização, possivelmente para planejar ataques. A empresa de inteligência de ameaças Hudson Rock analisou os dados e confirmou que o conjunto contém 73.932 URLs únicas de firewall em 194 países, afetando 21.632 domínios únicos. O vazamento é considerado um dos maiores conjuntos de credenciais comprometidas relacionadas à Fortinet já descobertos.

Ataque cibernético revela falhas em segurança de pequenas empresas

Um ataque cibernético a uma pequena empresa automotiva na França, realizado por um invasor de língua francesa, expôs vulnerabilidades significativas em segurança. O atacante, identificado como ‘Poisson’, implantou um keylogger para roubar credenciais bancárias e de e-mail. O que se destacou foi a instalação de OpenSSH e Tailscale na máquina da vítima, criando um acesso persistente que não dependia do servidor de comando e controle (C2). Após o C2 ficar offline, o acesso do invasor permaneceu ativo, permitindo que ele se reconectasse automaticamente dias depois. O ataque foi documentado em detalhes por pesquisadores da Cato Networks, que capturaram 339 comandos executados ao longo de 33 dias. O invasor utilizou ferramentas comuns e deixou rastros, como a exposição de seu diretório pessoal e a nomeação de buckets de armazenamento com seu próprio nome. O ataque destaca a importância de não apenas desativar o C2, mas também de identificar e eliminar portas de acesso alternativas que possam ter sido criadas. Para pequenas empresas, a exposição financeira decorrente do roubo de credenciais é uma preocupação crítica.

Usuários do Microsoft Teams devem ter cuidado com ransomware

Pesquisadores de segurança da Symantec alertaram que hackers de ransomware, conhecidos como DragonForce, estão utilizando servidores de retransmissão do Microsoft Teams para ocultar tráfego malicioso. Essa técnica, chamada de ‘Ghost Calls’, permite que os atacantes disfarcem suas comunicações de comando e controle (C2) como se fossem tráfego legítimo do Teams, dificultando a detecção por parte das equipes de segurança. O ataque ocorreu em dezembro de 2025, quando os hackers exploraram uma vulnerabilidade desconhecida em servidores SQL para obter acesso à rede de uma grande empresa de serviços nos EUA. Eles implantaram um malware personalizado chamado ‘Backdoor.Turn’, que utiliza o protocolo TURN do Teams para mascarar suas atividades. Essa abordagem representa um avanço significativo nas táticas de cibercrime, mostrando um nível de sofisticação elevado. A DragonForce, que opera sob um modelo de cartel de drogas, permite que afiliados utilizem sua infraestrutura e malware, aumentando a complexidade do cenário de ameaças. A situação exige atenção redobrada das empresas que utilizam o Microsoft Teams, uma vez que a técnica pode ser replicada em outros ambientes corporativos.

Microsoft investiga falha em aplicativos de terceiros com Office

A Microsoft está investigando um problema que impede aplicativos de terceiros de abrir o Microsoft Office em sistemas Windows atualizados. Este problema afeta aplicações como Word, Excel e PowerPoint quando iniciadas a partir de softwares de terceiros que utilizam automação OLE. Usuários relataram que aplicativos como CCH Engagement, Zotero e softwares odontológicos, como Dentrix e Softdent, estão entre os afetados. A falha ocorre após a instalação de atualizações do Windows lançadas a partir de 9 de junho de 2026, e, em muitos casos, os aplicativos ou documentos do Office não abrem sem exibir mensagens de erro. A Microsoft ainda não possui uma solução definitiva, mas recomenda que os usuários abram os aplicativos do Office diretamente como uma alternativa temporária. Clientes empresariais podem contatar o suporte da Microsoft para obter uma solução que possa ser aplicada em toda a organização. A empresa informou que uma resolução está em andamento e será incluída em uma futura atualização do Windows. Este incidente se soma a uma série de problemas recentes enfrentados por usuários do Office, incluindo falhas em abrir arquivos na versão web e problemas com atualizações do Windows.

Índia proíbe Telegram após venda de materiais de exame vazados

O governo indiano impôs uma proibição temporária ao aplicativo Telegram até 22 de junho, após o uso da plataforma para a venda de acesso a materiais de exames vazados, especificamente o NEET, um dos maiores exames de admissão médica do país. A decisão foi tomada pelo Ministério da Eletrônica e Tecnologia da Informação, com base na Seção 69A da Lei de TI, após recomendações da Agência Nacional de Testes (NTA). Além da proibição, o Telegram foi obrigado a desativar sua função de edição de mensagens até 30 de junho. O CEO do Telegram, Pavel Durov, acusou a operadora de telecomunicações Reliance de realizar um ‘sequestro de BGP’ para aplicar a proibição, afetando usuários fora da Índia, como nos Emirados Árabes Unidos. Especialistas em tecnologia contestaram a alegação de Durov, sugerindo que a interrupção foi resultado de uma configuração incorreta, e não de sabotagem intencional. A proibição gerou críticas de grupos de direitos digitais, que a consideram desproporcional e prejudicial a milhões de usuários legítimos que dependem do Telegram para estudos e materiais de preparação. A situação destaca a complexidade da regulação de plataformas digitais e os desafios de lidar com fraudes sem impactar usuários inocentes.

Campanha de malware no JetBrains Marketplace compromete chaves de API

Pesquisadores de cibersegurança identificaram uma campanha coordenada de malware no JetBrains Marketplace, onde 15 plugins maliciosos foram publicados, capazes de exfiltrar chaves de API de provedores de inteligência artificial (IA). Os plugins, que se apresentam como assistentes de codificação baseados em modelos de linguagem, funcionam conforme anunciado, mas capturam a chave de API inserida pelo usuário e a enviam para um servidor controlado pelos atacantes. A atividade, que começou em outubro de 2025, continua com novos plugins sendo lançados até junho de 2026. Entre os plugins mais populares estão o CodeGPT AI Assistant e o DeepSeek AI Assist, ambos com mais de 25.000 downloads, embora a autenticidade desses números seja questionável. Os plugins compartilham um código-base semelhante e exigem que os usuários insiram suas chaves de API para funcionar. Além disso, após o pagamento de uma taxa, o plugin fornece uma chave de API ao usuário, que é utilizada em vez da chave original, levantando suspeitas de que os operadores estão monetizando as chaves roubadas. Essa campanha evidencia a crescente vulnerabilidade dos ambientes de desenvolvimento, que se tornaram alvos lucrativos para cibercriminosos.

Gestão da Superfície de Ataque Riscos e Exposições em Organizações

Um estudo recente da equipe da Intruder revelou que 60% das organizações possuem pelo menos um painel HTTP exposto, como consoles administrativos e páginas de login, que não deveriam ser acessíveis publicamente. Além disso, 49% das empresas têm serviços ou portas arriscadas expostas, e 42% têm bancos de dados acessíveis diretamente pela internet. As exposições mais comuns incluem bancos de dados MySQL e Postgres, além de documentação de APIs. A análise destaca que, com o tempo de exploração de vulnerabilidades reduzido a um dia, a prioridade não deve ser apenas a correção, mas também a razão pela qual esses serviços estão expostos. A pesquisa sugere que a redução da superfície de ataque deve receber mais atenção do que a gestão de vulnerabilidades, uma vez que muitos serviços listados nunca deveriam estar acessíveis pela internet. O relatório completo está disponível no Índice de Gestão da Superfície de Ataque de 2026.

Kodak investiga violação de segurança após acesso não autorizado a dados

A Kodak confirmou que está colaborando com especialistas externos em cibersegurança para investigar uma violação de segurança que resultou no acesso não autorizado a uma quantidade limitada de dados da empresa. A companhia, fundada em 1880 e com sede em Rochester, Nova York, possui 79.000 patentes e oferece produtos de impressão comercial, materiais avançados e químicos. Um porta-voz da Kodak informou que os atacantes acessaram apenas uma ‘quantidade limitada’ de dados, mas não esclareceu se houve comprometimento da rede interna da empresa. O grupo de extorsão ShinyHunters reivindicou a responsabilidade pelo ataque, alegando ter roubado mais de 2,2 milhões de registros contendo informações pessoais identificáveis (PII) de clientes e dados corporativos internos. O grupo ameaçou vazar os dados exfiltrados, dando um prazo até 18 de junho de 2026 para que a Kodak entre em contato. Embora a Kodak não tenha divulgado como os atacantes conseguiram acesso, o ShinyHunters já foi associado a ataques a centenas de clientes da Salesforce e a outras empresas. A Kodak está trabalhando com as autoridades e acredita que não há ameaça contínua aos seus sistemas ou operações.

Pacotes npm do Mastra comprometidos em ataque à cadeia de suprimentos

Um ataque à cadeia de suprimentos de software, denominado easy-day-js, comprometeu 144 pacotes npm associados ao namespace Mastra, um framework popular de JavaScript e TypeScript para aplicações de inteligência artificial. O ataque foi identificado por empresas de segurança como JFrog, SafeDep, Socket e StepSecurity. Um único usuário npm, identificado como ’ehindero’, publicou mais de 140 pacotes maliciosos em um curto espaço de tempo. Embora os pacotes infectados não contenham código malicioso, eles dependem de uma biblioteca de terceiros chamada ’easy-day-js’, que foi alterada para incluir um payload ofuscado. Esse payload é ativado durante um hook de pós-instalação e se conecta a um servidor controlado pelos atacantes para baixar um trojan que rouba informações, incluindo dados de carteiras de criptomoedas. O ataque afetou pacotes amplamente utilizados, como o @mastra/core, que possui mais de 918 mil downloads semanais. A Npm já removeu as versões maliciosas, mas qualquer ambiente que tenha instalado essas versões deve ser considerado potencialmente comprometido.

Novo trojan bancário Android Rokarolla ataca 217 aplicativos

Um novo trojan bancário para Android, denominado Rokarolla, está atacando 217 aplicativos de bancos e criptomoedas, utilizando um conjunto extenso de 137 comandos. O malware é distribuído por meio de sites maliciosos que se passam por provedores do Google Chrome ou TikTok, permitindo que os invasores assumam o controle administrativo total de dispositivos comprometidos. Entre suas capacidades, estão o roubo de credenciais de tela de bloqueio, listas de contatos e dados de SMS, além de registrar continuamente as entradas do usuário através de keyloggers.

Plugins maliciosos no JetBrains Marketplace roubam chaves de API de IA

Uma campanha de malware foi descoberta no JetBrains Marketplace, onde pelo menos 15 plugins maliciosos foram projetados para roubar chaves de API de IA de desenvolvedores. Os plugins, que atuam como assistentes de codificação e ferramentas de revisão de código, foram baixados cerca de 70.000 vezes. Aikido Security, a empresa que identificou a ameaça, revelou que os plugins exfiltram as chaves de API assim que o usuário clica em ‘Aplicar’ após inseri-las nas configurações. Os dados são enviados para um servidor específico, comprometendo a segurança dos desenvolvedores. Embora os plugins funcionem como prometido, eles secretamente transmitem as credenciais para os atacantes. Além disso, a pesquisa sugere que os operadores dos plugins podem estar coletando credenciais de usuários gratuitos para fornecer chaves a usuários pagos. A análise de um dos plugins, o DeepSeek AI Assist, confirmou a presença do código de roubo de credenciais. Até o momento, o plugin ainda está disponível para download no Marketplace, o que levanta preocupações sobre a segurança da plataforma.

Inteligência de IP e o Desafio da Infraestrutura Anônima

As equipes de segurança enfrentam um desafio crescente na análise de dados de IP, especialmente com o aumento do uso de infraestrutura de anonimização, como VPNs e proxies residenciais. Um estudo recente da Spur Intelligence revelou que quase metade dos profissionais de segurança entrevistados relatou impactos operacionais significativos devido a tentativas de roubo de contas e abuso de credenciais através dessas tecnologias. Embora as organizações reconheçam a importância da inteligência de IP, muitas ainda a utilizam de forma reativa, principalmente após a geração de alertas. A falta de contexto em dados de IP, como classificação de infraestrutura e padrões comportamentais, dificulta a tomada de decisões eficazes. Além disso, a preocupação com riscos internos, como o uso de dispositivos pessoais e aplicativos de consumo, é frequentemente subestimada. Para enfrentar esses desafios, as equipes de segurança devem integrar a inteligência de IP em seus fluxos de trabalho de forma proativa, buscando não apenas identificar endereços IP suspeitos, mas também entender a infraestrutura e o comportamento por trás deles. O futuro da inteligência de IP está em fornecer contexto rico, automação e uma base sólida para controles de segurança baseados em risco.

Falha no Google Cloud permite sequestro de modelos de ML

Uma vulnerabilidade no SDK do Google Cloud Vertex AI para Python permitiu que um atacante, sem acesso ao projeto da vítima, sequestrasse modelos de aprendizado de máquina e executasse código na infraestrutura de serviços do Google. A técnica, chamada de “Pickle in the Middle” pela Palo Alto Networks Unit 42, foi descoberta e relatada através do programa de recompensas por vulnerabilidades do Google. O problema estava na forma como o SDK gerava nomes de buckets temporários para uploads de modelos. Se o usuário não especificasse um bucket, o SDK criava um nome previsível a partir do ID do projeto e da região, permitindo que um atacante criasse o bucket esperado em seu próprio projeto. Assim, o modelo da vítima era enviado para o bucket do atacante, que poderia substituí-lo por um modelo malicioso. Esse modelo, ao ser carregado pelo Vertex AI, executava código malicioso, permitindo o roubo de tokens OAuth e acesso a outros artefatos do projeto. A falha foi corrigida nas versões 1.148.0 e posteriores do SDK, e recomenda-se que os usuários atualizem e especifiquem um bucket de armazenamento controlado ao fazer uploads de modelos.

Mais de 1 milhão de sites WordPress em risco após plugin popular ser hackeado

Mais de um milhão de sites WordPress estão em risco de serem comprometidos devido a uma vulnerabilidade no plugin UpdraftPlus, que foi explorada em um ataque de cadeia de suprimentos. O ataque, identificado pela empresa de segurança Sansec, afetou o servidor de marketing da Awesome Motive, responsável por produtos populares como OptinMonster. Os hackers conseguiram acessar credenciais do servidor e injetar scripts JavaScript maliciosos que só eram ativados quando administradores logados visitavam os sites afetados. Isso permitiu que os atacantes coletassem tokens de autenticação e criassem contas de administrador falsas, possibilitando o controle total dos sites. Os proprietários de sites são aconselhados a verificar a presença de contas de administrador não autorizadas e a realizar varreduras de malware. Além disso, é recomendado que senhas e chaves de API sejam rotacionadas para mitigar o risco de comprometimento contínuo.