Cibersegurança

Pesquisadores de cibersegurança da NeuralTrust descobriram uma vulnerabilidade crítica no navegador Atlas da OpenAI, que permite a atacantes disfarçar instruções maliciosas como URLs legítimas, burlando os controles de segurança do sistema. A falha explora a omnibox, a barra de endereço e pesquisa combinada, manipulando a forma como o Atlas distingue entre solicitações de navegação e comandos em linguagem natural.

Os atacantes criam strings que parecem URLs válidas, mas que contêm erros sutis de formatação. Quando um usuário insere essas strings na omnibox, o Atlas não valida corretamente a URL e trata o conteúdo como um comando confiável, permitindo que instruções maliciosas sejam executadas com privilégios elevados.

A Dell Technologies revelou três vulnerabilidades críticas em seu software Storage Manager, que podem permitir que atacantes contornem autenticações, divulguem informações sensíveis e acessem sistemas de forma não autorizada. As falhas afetam versões até 20.1.21 e apresentam riscos significativos para organizações que utilizam essa ferramenta para gerenciar arrays de armazenamento. A vulnerabilidade mais severa, CVE-2025-43995, possui um escore CVSS de 9.8, permitindo que um atacante não autenticado explore APIs expostas para obter controle total sobre a infraestrutura de armazenamento. Outras falhas, como CVE-2025-43994 e CVE-2025-46425, também apresentam riscos elevados, permitindo a divulgação de informações e acesso não autorizado a arquivos sensíveis. A Dell recomenda que os clientes atualizem imediatamente para versões mais recentes do software para mitigar esses riscos. Embora não haja relatos de exploração ativa até o momento, a facilidade de acesso remoto torna a situação crítica, exigindo ações rápidas para evitar possíveis violações de segurança.

Um pesquisador de cibersegurança apresentou a ferramenta EDR-Redir, que explora drivers de filtro de vinculação e de nuvem do Windows para comprometer sistemas de Detecção e Resposta de Endpoint (EDR). A técnica redireciona pastas executáveis do EDR para locais controlados por atacantes, permitindo injeção de código ou interrupção total do serviço sem a necessidade de privilégios de nível de kernel. O ataque utiliza o recurso de vinculação do Windows, introduzido no Windows 11 versão 24H2, que permite redirecionamento de namespace de sistema de arquivos através de caminhos virtuais. Diferente dos links simbólicos tradicionais, que os EDRs monitoram ativamente, os links de vinculação operam em nível de driver de minifiltro, permitindo redirecionamento transparente que parece legítimo para softwares de segurança. A ferramenta foi testada com sucesso contra Elastic Defend e Sophos Intercept X, redirecionando suas pastas executáveis. Quando a redireção falhou contra o Windows Defender, o pesquisador utilizou a API de Filtro de Nuvem do Windows para corromper a pasta alvo, bloqueando o acesso do Defender. A EDR-Redir está disponível no GitHub, levantando preocupações sobre sua exploração generalizada. A detecção desse tipo de ataque é extremamente desafiadora, pois opera em nível de driver, gerando poucos eventos de segurança. Para mitigar essa ameaça, os EDRs precisam aprimorar os mecanismos de proteção de pastas e implementar monitoramento para atividades de drivers de filtro.

A HashiCorp revelou uma vulnerabilidade crítica no Vault e no Vault Enterprise, que permite a atacantes contornar a autenticação e realizar ataques de negação de serviço (DoS). Identificada como CVE-2025-12044, essa falha resulta de um erro na ordem de operações durante a correção de uma vulnerabilidade anterior, permitindo que a limitação de taxa ocorra após o processamento de payloads JSON. Isso significa que um atacante pode enviar repetidamente payloads JSON maliciosos, consumindo recursos do sistema sem necessidade de autenticação. O impacto pode ser severo, levando à degradação do desempenho ou até mesmo à queda total do serviço, tornando segredos inacessíveis para aplicações legítimas. A vulnerabilidade afeta versões do Vault Community Edition de 1.20.3 a 1.20.4 e do Vault Enterprise em várias versões, exigindo atualizações urgentes para versões corrigidas. A HashiCorp recomenda que as organizações avaliem sua exposição e realizem as atualizações necessárias para evitar incidentes de DoS. A descoberta foi feita por Toni Tauro da Adfinis AG, que coordenou a divulgação responsável da falha.

O grupo de ransomware conhecido como Qilin, também chamado de Agenda, Gold Feather e Water Galura, tem se mostrado extremamente ativo, reivindicando mais de 40 vítimas por mês desde o início de 2025, exceto em janeiro. Em junho, o número de casos postados em seu site de vazamento de dados atingiu 100. A operação de ransomware como serviço (RaaS) é responsável por 84 vítimas em agosto e setembro. Os ataques têm como alvo principalmente os setores de manufatura, serviços profissionais e científicos, e comércio atacadista, afetando países como EUA, Canadá, Reino Unido, França e Alemanha. Os atacantes utilizam credenciais administrativas vazadas para obter acesso inicial, seguido de conexões RDP e reconhecimento do sistema. Ferramentas como Mimikatz e Cyberduck são empregadas para coletar credenciais e transferir dados. O ransomware Qilin, por sua vez, criptografa arquivos e apaga cópias de sombra do Windows. Além disso, uma variante do ransomware para Linux foi descoberta, demonstrando a capacidade de afetar sistemas Windows e Linux simultaneamente. Os ataques também exploram ferramentas legítimas para contornar barreiras de segurança, destacando a necessidade de vigilância constante e medidas de mitigação eficazes.

O cenário de cibersegurança continua a se deteriorar, com novas ameaças emergindo constantemente. Recentemente, uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287, foi explorada ativamente por cibercriminosos, permitindo a execução remota de código em sistemas afetados. Essa falha, com um CVSS de 9.8, foi corrigida pela Microsoft, mas já está sendo utilizada para implantar malware em máquinas vulneráveis.

Além disso, uma rede maliciosa no YouTube tem promovido vídeos que direcionam usuários para downloads de malware, com um aumento significativo na quantidade de vídeos desde o início do ano. Outro ataque notável é o da campanha “Dream Job”, atribuída ao grupo Lazarus da Coreia do Norte, que visa empresas do setor de defesa na Europa, enviando e-mails fraudulentos que disfarçam ofertas de emprego.

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade no navegador ChatGPT Atlas da OpenAI, que pode permitir que agentes maliciosos injetem instruções prejudiciais na memória do assistente de inteligência artificial. Essa falha, baseada em um erro de falsificação de solicitação entre sites (CSRF), possibilita que as instruções maliciosas persistam entre dispositivos e sessões, comprometendo a segurança do usuário. A memória, introduzida pela OpenAI em fevereiro de 2024, visa personalizar as interações, mas, se corrompida, pode ser utilizada para executar códigos arbitrários sem o conhecimento do usuário. A vulnerabilidade é agravada pela falta de controles robustos contra phishing no ChatGPT Atlas, tornando os usuários até 90% mais expostos em comparação com navegadores tradicionais como Google Chrome e Microsoft Edge. O ataque pode ser desencadeado por meio de engenharia social, onde o usuário é induzido a clicar em um link malicioso. Uma vez que a memória do ChatGPT é comprometida, comandos normais podem ativar a execução de códigos maliciosos, resultando em escalonamento de privilégios ou exfiltração de dados. Essa situação representa um risco significativo, pois transforma uma funcionalidade útil em uma ferramenta de ataque.

O descarte incorreto de etiquetas de encomendas pode ser uma vulnerabilidade significativa em cibersegurança, conforme alerta Daniel Barbosa, pesquisador da ESET. Informações sensíveis, como nome completo, endereço e detalhes da compra, podem ser exploradas por criminosos para aplicar golpes, como engenharia social e phishing. Os golpistas podem se passar por representantes de empresas para coletar mais dados ou enviar arquivos maliciosos disfarçados de documentos legítimos. Para evitar esses riscos, é essencial descartar adequadamente documentos que contenham informações pessoais. Barbosa sugere técnicas como borrar informações em papel comum ou utilizar calor em papel térmico para torná-las ilegíveis. A conscientização sobre a segurança das mídias físicas é crucial, pois elas podem facilitar o acesso a dados que, se expostos na internet, seriam considerados críticos. Portanto, a proteção deve ser abrangente, considerando tanto o ambiente digital quanto o físico.

A NordVPN, reconhecida como uma das melhores serviços de VPN, anunciou a inclusão de um bloqueador de sites adultos em sua suíte Threat Protection. Essa nova funcionalidade, que utiliza filtragem DNS, está disponível apenas nas versões para Android e iOS do aplicativo, permitindo que os usuários bloqueiem o acesso a milhares de domínios adultos antes mesmo de serem carregados em seus dispositivos. O bloqueador atua no nível da rede, negando solicitações DNS para sites que estão em uma lista pré-definida de domínios restritos. Essa adição visa proporcionar uma experiência de navegação mais segura, especialmente para famílias que compartilham dispositivos. Além do bloqueio de sites adultos, a NordVPN tem ampliado suas funcionalidades de segurança, incluindo proteção contra chamadas de spam e alertas de sessões sequestradas. Essas atualizações são importantes em um cenário de ameaças cibernéticas em constante evolução, onde a proteção proativa é essencial para a segurança online.

Durante a competição de hacking Pwn2Own Irlanda 2025, realizada em Cork, de 21 a 23 de outubro, a equipe Z3 decidiu não demonstrar publicamente uma vulnerabilidade crítica de execução remota de código sem clique no WhatsApp. Em vez disso, optaram por relatar a falha de forma privada à Meta, a empresa-mãe do WhatsApp, através de um processo de divulgação coordenada. Essa decisão surpreendeu os participantes, pois a exploração poderia ter rendido à equipe um prêmio recorde de US$ 1 milhão. A Zero Day Initiative (ZDI), organizadora do evento, elogiou a escolha da equipe, que priorizou a segurança dos usuários em vez de um espetáculo público. A vulnerabilidade é considerada de alto risco, pois permite que atacantes comprometam dispositivos sem qualquer interação do usuário, tornando-se uma ameaça significativa, especialmente para os três bilhões de usuários do WhatsApp. A Meta se comprometeu a reforçar a segurança do aplicativo e a ZDI concedeu um prazo de até 90 dias para que a empresa desenvolva e implemente correções antes de qualquer divulgação pública. Embora os detalhes técnicos da vulnerabilidade não tenham sido divulgados, especialistas esperam que a Meta atue rapidamente para mitigar o risco de exploração real.

O grupo de ameaças cibernéticas conhecido como Famous Chollima, vinculado ao Bureau Geral de Reconhecimento da Coreia do Norte, aprimorou suas capacidades de malware ao combinar as funcionalidades dos malwares BeaverTail e OtterCookie em variantes unificadas de infostealers. A nova campanha do grupo utiliza táticas enganosas de recrutamento de emprego e ataques à cadeia de suprimentos através de pacotes maliciosos do NPM, visando profissionais de criptomoedas e blockchain.

O ataque recente focou em um aplicativo de xadrez temático de criptomoedas chamado Chessfi, distribuído por meio de um repositório comprometido do Bitbucket. Ao clonar o repositório, os usuários baixaram automaticamente o pacote malicioso “node-nvm-ssh” do NPM, que executou scripts JavaScript ofuscados. O BeaverTail se concentra na enumeração de perfis de navegador, visando extensões de carteiras de criptomoedas como MetaMask e Phantom, enquanto o OtterCookie oferece acesso remoto e coleta de dados sensíveis.

A Microsoft está prestes a lançar uma nova funcionalidade no Teams, que permitirá a detecção automática da localização de trabalho dos usuários por meio das redes Wi-Fi de suas organizações. Essa atualização, prevista para dezembro de 2025, visa facilitar a colaboração em ambientes híbridos, eliminando a necessidade de atualizações manuais de status. Ao conectar-se à rede corporativa, o Teams ajustará automaticamente o status do usuário para refletir sua localização física, ajudando na coordenação de interações presenciais. A funcionalidade respeitará os horários de trabalho definidos no calendário do Outlook, garantindo que as atualizações de localização ocorram apenas durante o expediente e sejam limpas automaticamente ao final do dia, abordando preocupações de privacidade. Embora a funcionalidade seja desativada por padrão, os administradores de TI poderão ativá-la, e os usuários terão a opção de compartilhar sua localização com colegas. A Microsoft enfatiza que essa ferramenta não se trata de vigilância, mas sim de promover conexões reais e reduzir confusões sobre a disponibilidade para colaborações presenciais.

O navegador OpenAI Atlas, recém-lançado, foi identificado como vulnerável a um ataque de injeção de prompt, onde um prompt malicioso pode ser disfarçado como um URL aparentemente inofensivo. Segundo um relatório da NeuralTrust, o omnibox do navegador, que combina a barra de endereço e de busca, interpreta entradas como URLs ou comandos em linguagem natural. Isso permite que um atacante crie um link que, ao ser inserido, faz com que o navegador execute instruções prejudiciais. Por exemplo, um URL malformado pode redirecionar o usuário para um site controlado pelo atacante, potencialmente levando a páginas de phishing ou até comandos que excluem arquivos de aplicativos conectados, como o Google Drive. A falta de distinção rigorosa entre entradas de usuário confiáveis e conteúdo não confiável no Atlas é uma falha crítica. A situação é agravada por técnicas como o ‘AI Sidebar Spoofing’, onde extensões maliciosas podem enganar usuários a fornecer dados ou instalar malware. Embora a OpenAI tenha implementado medidas de segurança, a injeção de prompt continua a ser um problema de segurança não resolvido, exigindo atenção contínua da indústria de cibersegurança.

A unidade de resposta a ameaças da eSentire (TRU) identificou três grupos distintos de ameaças que estão utilizando a ferramenta de administração remota NetSupport Manager através de campanhas de engenharia social sofisticadas conhecidas como ClickFix. Essa abordagem representa uma mudança significativa em relação aos métodos anteriores de entrega de atualizações falsas. Os atacantes manipulam as vítimas por meio de páginas de acesso inicial ClickFix, levando-as a executar comandos maliciosos diretamente no Prompt de Execução do Windows. O loader mais comum observado é baseado em PowerShell e utiliza blobs codificados em base64 para decodificar componentes do NetSupport, criando diretórios ocultos e estabelecendo persistência no sistema. Além disso, uma nova variante de PowerShell foi identificada, que apaga valores do registro para eliminar evidências de execução. A análise de tráfego de rede revelou comunicação com servidores de conectividade do NetSupport, e a TRU lançou uma ferramenta automatizada no GitHub para ajudar pesquisadores de segurança a extrair configurações embutidas. As campanhas foram agrupadas em três clusters, sendo a EVALUSION a mais sofisticada, operando em várias regiões e utilizando diferentes variações de licença. As equipes de segurança são aconselhadas a desabilitar o Prompt de Execução do Windows e implementar programas de treinamento em segurança para combater essas técnicas de engenharia social.

Um novo projeto de cabos submarinos, conhecido como Kardesa, está programado para iniciar a construção em 2027 e promete conectar Bulgária, Geórgia, Turquia e Ucrânia, evitando as águas russas. Este projeto visa criar um corredor digital independente entre a Europa e a Ásia, em resposta a preocupações com a segurança das infraestruturas de telecomunicações, especialmente após incidentes recentes no Mar Vermelho que mostraram a fragilidade das redes submarinas. Atualmente, apenas um cabo atravessa o Mar Negro, o que torna a nova rota uma alternativa estratégica. A diversificação de rotas é vista como uma prioridade, com países investindo em sistemas para detectar e prevenir sabotagens. No entanto, a ideia de que evitar a Rússia tornará automaticamente a internet mais segura é questionável, já que a Ucrânia, onde parte do cabo passará, ainda é uma zona de incerteza. Além disso, a proteção física não elimina o risco de intrusões cibernéticas. Se bem-sucedido, o Kardesa pode mudar a percepção da Europa sobre a independência digital.

O aumento do uso de Inteligência Artificial (IA), especialmente em chatbots como ChatGPT, Gemini e Claude, trouxe à tona novas vulnerabilidades. Pesquisadores do Instituto Alan Turing e da Anthropic identificaram uma técnica chamada ’envenenamento de IA’, onde apenas 250 arquivos maliciosos podem comprometer o aprendizado de um modelo de dados. Isso resulta em chatbots que aprendem informações erradas, levando a respostas incorretas ou até maliciosas. Existem dois tipos principais de envenenamento: o direto, que altera respostas específicas, e o indireto, que prejudica a performance geral. Um exemplo de ataque direto é o backdoor, onde o modelo é manipulado para responder de forma errada ao detectar um código específico. Já o ataque indireto envolve a criação de informações falsas que o modelo replica como verdade. Em março de 2023, a OpenAI suspendeu temporariamente o ChatGPT devido a um bug que expôs dados de usuários. Além disso, artistas têm utilizado dados envenenados como uma forma de proteger suas obras contra sistemas de IA que as utilizam sem autorização. Essa situação levanta preocupações sobre a segurança e a integridade dos sistemas de IA, especialmente em um cenário onde a desinformação pode ter consequências graves.

Hackers estão explorando chaves de máquina ASP.NET expostas para injetar um módulo malicioso sofisticado conhecido como “HijackServer” em servidores do Internet Information Services (IIS). Essa vulnerabilidade, que afeta centenas de servidores web globalmente, permite a execução remota de código e compromete a segurança de organizações de todos os tamanhos. Os atacantes identificam aplicações ASP.NET com chaves fracas ou publicamente divulgadas, o que facilita a manipulação do viewstate e a execução de código arbitrário no servidor. Uma vez dentro, eles utilizam técnicas de escalonamento de privilégios para obter controle administrativo e implantam ferramentas de acesso remoto. O HijackServer, um módulo nativo do IIS, não apenas serve como uma porta dos fundos não autenticada, mas também gera páginas de investimento falsas para enganar usuários. Os administradores são aconselhados a rotacionar suas chaves de máquina ASP.NET e a monitorar seus ambientes IIS em busca de módulos suspeitos, uma vez que a exposição de segredos pode deixar as organizações vulneráveis, mesmo que as falhas sejam corrigidas.

Um novo relatório do Google Threat Intelligence Group (GTIG) revelou uma campanha cibernética de criminosos vietnamitas, identificada como UNC6229, que utiliza anúncios de emprego falsos para comprometer profissionais de marketing digital e sequestrar contas corporativas de publicidade. Os atacantes empregam táticas avançadas de engenharia social e entrega de malware, infiltrando-se em ambientes empresariais através de dispositivos pessoais e credenciais online das vítimas.

Os golpistas publicam vagas fraudulentas em plataformas legítimas, como LinkedIn, e em sites controlados por eles, atraindo candidatos desavisados. Após a aplicação, coletam informações pessoais que são utilizadas para ataques de phishing personalizados ou distribuição de malware. As técnicas incluem o envio de arquivos ZIP protegidos por senha que, ao serem abertos, instalam trojans de acesso remoto (RATs) ou redirecionam as vítimas para portais de login falsos que imitam serviços corporativos, capturando credenciais mesmo com autenticação multifatorial.

O grupo de ameaças Vault Viper, recentemente identificado pela Infoblox Threat Intelligence, está focado na indústria de apostas online na Ásia, utilizando um navegador personalizado para distribuir malware. O navegador, chamado Universe Browser, é uma versão modificada do Chromium, promovida como uma solução de privacidade para apostadores, permitindo o acesso a plataformas de apostas em países onde o jogo é ilegal. No entanto, análises técnicas revelam que o navegador possui características de malware, como o redirecionamento de tráfego por servidores proxy controlados pelos atacantes e a instalação de programas persistentes em segundo plano.

Uma nova pesquisa da Palo Alto Networks revela que um grupo ligado à China, conhecido como Smishing Triad, está por trás de uma campanha de smishing em larga escala, que já registrou mais de 194 mil domínios maliciosos desde janeiro de 2024. Esses domínios, registrados por meio de um registrador baseado em Hong Kong, utilizam servidores de nomes chineses, mas a infraestrutura de ataque está predominantemente hospedada em serviços de nuvem dos EUA. A campanha visa enganar usuários com mensagens fraudulentas sobre violações de pedágio e entregas de pacotes, levando-os a fornecer informações sensíveis. Nos últimos três anos, os atacantes conseguiram lucrar mais de 1 bilhão de dólares. Além disso, a pesquisa indica um aumento significativo no uso de kits de phishing para atacar contas de corretoras, com um crescimento de cinco vezes no segundo trimestre de 2025 em comparação ao ano anterior. A análise também mostra que a maioria dos domínios tem uma vida útil curta, o que sugere uma estratégia de evasão de detecção. O USPS é o serviço mais imitado, com 28.045 domínios dedicados a fraudes. Essa campanha representa uma ameaça global e descentralizada, exigindo atenção urgente das organizações.

Uma nova ameaça cibernética chamada RedTiger está circulando, visando gamers em todo o mundo, especialmente aqueles que utilizam o Discord. Este infostealer foi projetado para roubar credenciais do Discord, contas de jogos e informações financeiras sensíveis. Inicialmente, RedTiger era uma ferramenta legítima de red-teaming lançada em 2024, mas agora foi adaptada por cibercriminosos para fins maliciosos. O malware injeta código malicioso diretamente no aplicativo Discord, além de coletar senhas salvas no navegador, informações de cartões de pagamento e credenciais de carteiras de criptomoedas. O RedTiger utiliza um processo de roubo de dados em duas etapas, enviando as informações roubadas para um serviço de armazenamento em nuvem, o que dificulta a rastreabilidade dos atacantes. Com mecanismos de persistência sofisticados, o malware pode reiniciar automaticamente após a inicialização do sistema, garantindo acesso contínuo ao dispositivo infectado. A natureza de código aberto do RedTiger permite que qualquer um modifique a ferramenta, criando variações que dificultam a detecção por softwares antivírus. Diante disso, é crucial que os gamers adotem práticas de segurança, como evitar downloads de fontes não confiáveis e utilizar senhas fortes e únicas.

Pesquisadores de segurança da Proofpoint desenvolveram uma ferramenta inovadora de código aberto chamada PDF Object Hashing, que auxilia equipes de segurança na detecção e rastreamento de arquivos maliciosos disfarçados como documentos PDF. Disponível no GitHub, essa ferramenta representa um avanço significativo na identificação de documentos suspeitos frequentemente utilizados em campanhas de phishing, distribuição de malware e ataques de comprometimento de e-mail corporativo.

Os PDFs se tornaram a escolha preferida dos cibercriminosos, pois parecem legítimos para os usuários comuns. Os atacantes frequentemente enviam PDFs contendo URLs maliciosas, códigos QR ou informações bancárias falsas para enganar as pessoas. No entanto, ferramentas de segurança tradicionais costumam falhar em detectar essas ameaças, uma vez que os PDFs podem ser modificados de várias maneiras, mantendo a aparência idêntica para os usuários.

A Amazon Web Services (AWS) identificou a causa de uma grande interrupção que afetou milhões de clientes e suas operações em 19 e 20 de outubro de 2025. O problema foi causado por uma falha na resolução de DNS que afetou os pontos de serviço regionais do DynamoDB, um dos serviços de banco de dados de alto desempenho da Amazon. A interrupção começou às 23h49 PDT e durou cerca de duas horas e trinta e cinco minutos, resultando em um efeito dominó que afetou não apenas o DynamoDB, mas também a própria Amazon.com e diversos serviços subsidiários. A equipe da AWS agiu rapidamente, identificando o problema às 00h26 PDT e resolvendo a questão de DNS às 02h24 PDT. No entanto, a recuperação total levou cerca de quinze horas, com a normalização das operações ocorrendo apenas às 15h01 PDT do dia 20. Para evitar uma degradação adicional, a AWS adotou uma abordagem estratégica de controle, limitando deliberadamente o lançamento de novas instâncias do EC2, o que ajudou a estabilizar o sistema. A empresa publicou um resumo detalhado do evento, explicando as ações tomadas e as mudanças preventivas que serão implementadas para evitar incidentes semelhantes no futuro.

Pesquisadores da ESET revelaram uma nova onda da Operação DreamJob, uma campanha de longa duração do grupo Lazarus, associado à Coreia do Norte. Recentemente, essa operação tem como alvo empresas de defesa na Europa, especialmente aquelas envolvidas no desenvolvimento e fabricação de veículos aéreos não tripulados (VANTs). O principal objetivo dos ataques é o roubo de dados proprietários e conhecimentos técnicos militares relacionados a sistemas de VANTs utilizados na Ucrânia.

Uma rede maliciosa de contas do YouTube, chamada de YouTube Ghost Network, tem sido utilizada para publicar e promover vídeos que levam a downloads de malware. Desde 2021, essa rede já publicou mais de 3.000 vídeos maliciosos, com um aumento significativo no número de publicações desde o início de 2025. Os vídeos, que frequentemente abordam softwares pirateados e cheats de jogos como Roblox, são projetados para infectar usuários desavisados com malware do tipo stealer. A operação se aproveita da confiança dos usuários em plataformas populares, utilizando métricas como visualizações e comentários para dar uma falsa sensação de segurança. A maioria das contas comprometidas é utilizada para carregar vídeos de phishing, enquanto outras promovem mensagens que direcionam para links maliciosos. O Google já removeu uma parte significativa desses conteúdos, mas a estrutura modular da rede permite que novas contas sejam rapidamente criadas para substituir as banidas, mantendo a operação ativa. Entre os malwares distribuídos estão variantes como Lumma Stealer e Rhadamanthys Stealer, que têm como alvo informações sensíveis dos usuários. Essa situação destaca a crescente sofisticação das táticas de distribuição de malware, que agora utilizam plataformas legítimas para enganar os usuários.

Um estudo da Bitdefender de 2025 revela uma lacuna de percepção em cibersegurança entre líderes e equipes operacionais. Embora 93% dos profissionais de TI se sintam confiantes na gestão de riscos cibernéticos, essa confiança é desproporcional entre os níveis hierárquicos. Enquanto 45% dos executivos se consideram ‘muito confiantes’, apenas 19% dos gerentes de nível médio compartilham dessa visão. Essa discrepância pode resultar em subinvestimentos em tecnologia e processos críticos, uma vez que os líderes podem não estar cientes dos riscos reais enfrentados pelas equipes de segurança. Especialistas da Bitdefender apontam que a falta de comunicação e entendimento mútuo entre executivos e profissionais de segurança é um fator chave para essa lacuna. Para mitigar essa situação, é essencial promover um alinhamento estratégico que permita que ambos os lados compreendam as prioridades de negócios e as ameaças operacionais. A construção de uma cultura de visibilidade compartilhada e confiança é fundamental para fortalecer a resiliência cibernética das organizações.

Um grupo de hackers vinculado ao Paquistão, conhecido como Transparent Tribe (APT36), tem realizado ataques de spear-phishing direcionados a entidades governamentais indianas, utilizando um malware baseado em Golang chamado DeskRAT. As atividades foram observadas entre agosto e setembro de 2025 e envolvem o envio de e-mails de phishing com anexos ZIP ou links para arquivos em serviços de nuvem legítimos, como Google Drive. O malware é projetado para operar em sistemas Linux, especificamente o BOSS (Bharat Operating System Solutions), e permite o controle remoto através de WebSockets. O DeskRAT possui múltiplos métodos de persistência e comandos para coletar informações, como listar diretórios e enviar arquivos. Além disso, a campanha se expandiu para incluir variantes do malware que atacam sistemas Windows, mostrando um foco cross-platform. A crescente sofisticação das operações do grupo, que utiliza servidores dedicados para distribuição de malware, destaca a evolução das ameaças cibernéticas na região da Ásia-Pacífico, com implicações potenciais para a segurança de dados e conformidade com a LGPD no Brasil.

O grupo de ransomware Agenda, também conhecido como Qilin, lançou uma nova variante que utiliza um ransomware baseado em Linux, capaz de operar em sistemas Windows. Essa abordagem representa uma escalada significativa nas operações de ataque multi-plataforma do grupo. Os atacantes empregaram ferramentas legítimas de TI, como Splashtop Remote e WinSCP, para entregar um payload Linux, contornando sistemas de segurança centrados em Windows. A campanha se aproveita de ferramentas de gerenciamento remoto e de transferência de arquivos para implantar ransomware em ambientes híbridos de forma discreta. Além disso, o grupo realizou uma coleta direcionada de credenciais contra a infraestrutura de backup da Veeam, desativando a recuperação e roubando tokens de backup antes de implantar o ransomware. A variante híbrida demonstrou consciência do hipervisor, detectando ambientes VMware ESXi e Nutanix AHV, e utilizou técnicas de Bring Your Own Vulnerable Driver (BYOVD) para neutralizar ferramentas de antivírus. Com mais de 700 organizações comprometidas em 62 países, incluindo setores críticos como manufatura, finanças e saúde, especialistas alertam as empresas a reforçarem os controles de acesso e monitorarem o uso de credenciais. A Trend Vision One™ já detecta e bloqueia os indicadores de comprometimento identificados.

A Check Point Research revelou a existência da YouTube Ghost Network, uma campanha sofisticada de distribuição de malware que explora os mecanismos de confiança da plataforma. Desde 2021, mais de 3.000 vídeos maliciosos foram identificados, com um aumento significativo em 2025, triplicando o número de uploads maliciosos em comparação aos anos anteriores. A operação utiliza contas comprometidas divididas em três papéis principais: uploaders de vídeo, publicadores de postagens e impulsionadores de interação. Os vídeos frequentemente promovem softwares piratas e instruem os usuários a desativar o Windows Defender antes da instalação. Após a interrupção do infostealer Lumma, os operadores rapidamente migraram para o Rhadamanthys, utilizando servidores de comando e controle rotativos para evitar detecções. A análise dos vídeos revelou um padrão de ataque focado em categorias de alto tráfego, como ‘Game Hacks/Cheats’ e ‘Software Cracks/Piracy’. Embora a Check Point tenha conseguido derrubar muitos desses vídeos, a necessidade de uma colaboração coordenada entre operadores de plataformas, fornecedores de segurança e autoridades é crucial para combater futuras operações da Ghost Network.

Uma vulnerabilidade crítica na forma como o Microsoft Teams armazena dados de autenticação expôs organizações a um novo tipo de ataque. Pesquisadores de segurança descobriram que atacantes podem roubar tokens de acesso das instalações do Teams, permitindo-lhes ler conversas privadas, e-mails e documentos confidenciais sem precisar das senhas dos usuários. O ataque é particularmente preocupante, pois uma vez que um invasor ganha acesso inicial ao computador de um funcionário, ele pode extrair tokens de autenticação já armazenados no disco. Esses tokens funcionam como passes permanentes para os serviços da Microsoft, permitindo que os atacantes se façam passar por usuários legítimos e acessem todo o espaço de trabalho digital. O método de ataque se aproveita da forma como o Teams criptografa seus dados de autenticação, onde a chave de criptografia é armazenada em texto simples. Uma vez que os atacantes obtêm um token de acesso roubado, eles podem interagir diretamente com a API do Microsoft Graph, acessando conversas do Teams, lendo e enviando e-mails e navegando em documentos compartilhados. Para mitigar esses riscos, as empresas devem implementar soluções de detecção e resposta em endpoints e educar os funcionários sobre segurança de dispositivos.

Pesquisadores de cibersegurança, Ben R. e Georgi G., da Interrupt Labs, revelaram uma vulnerabilidade crítica no Samsung Galaxy S25 durante o evento Pwn2Own Ireland 2025. A falha, uma vulnerabilidade 0-Day, permite que atacantes ativem remotamente a câmera do dispositivo e rastreiem a localização do usuário sem seu consentimento. O problema foi identificado como uma falha de validação de entrada no software do Galaxy S25, que possibilitou a execução de código arbitrário. Essa vulnerabilidade destaca as lacunas de segurança que ainda existem em smartphones Android de ponta, mesmo após rigorosos testes de qualidade. Os pesquisadores foram recompensados com US$ 50.000 e 5 pontos no Master of Pwn por sua descoberta. A Samsung foi notificada sobre a vulnerabilidade e, embora ainda não tenha emitido um comunicado oficial, é esperado que um patch de segurança seja lançado em breve. Enquanto isso, os usuários devem habilitar atualizações automáticas e evitar aplicativos não confiáveis, uma vez que essa falha pode ser explorada para comprometer dados pessoais e privacidade.

Pesquisadores de cibersegurança identificaram um worm autorreplicante, denominado GlassWorm, que se espalha por meio de extensões do Visual Studio Code (VS Code) disponíveis no Open VSX Registry e no Microsoft Extension Marketplace. Este ataque sofisticado, o segundo do tipo em um mês, utiliza a blockchain Solana para seu comando e controle (C2), o que dificulta a sua neutralização. Além disso, o worm emprega caracteres Unicode invisíveis para ocultar o código malicioso nos editores de código.

Pesquisadores da Palo Alto Networks identificaram um grupo hacker chamado Jingle Thief, que tem como alvo empresas do varejo e serviços ao consumidor, focando na fraude de vale-presentes. Após invadir os sistemas, os cibercriminosos buscam obter acesso para emitir vale-presentes sem autorização, que são posteriormente vendidos no mercado cinza, dificultando a rastreabilidade. O grupo, que se destaca especialmente durante a temporada de festas, é associado a outras organizações criminosas e tem demonstrado a capacidade de manter acesso aos sistemas das vítimas por longos períodos, chegando a 10 meses. Utilizando técnicas como phishing e smishing, os hackers conseguem acessar credenciais de serviços como Microsoft 365 e SharePoint, além de roubar informações financeiras. A situação é alarmante, pois os invasores criam regras de e-mail para redirecionar comunicações e utilizam aplicativos clandestinos para contornar autenticação em dois fatores, aumentando a dificuldade de detecção. A atividade dos Jingle Thieves representa uma ameaça significativa para empresas brasileiras, especialmente em um cenário onde a segurança digital é cada vez mais crítica.

Pesquisadores da ESET identificaram uma série de ataques cibernéticos, conhecidos como Operação Dream Job, realizados por hackers norte-coreanos, que visam empresas do setor de defesa na Europa, especialmente aquelas envolvidas com drones. Desde março de 2025, o grupo Lazarus, responsável por esses ataques, utiliza táticas de engenharia social, oferecendo falsas oportunidades de emprego que, na verdade, instalam malwares como ScoringMathTea e MISTPEN nos sistemas das vítimas. Esses malwares são projetados para roubar informações sensíveis e podem executar comandos que permitem o controle total das máquinas comprometidas. A ESET já havia observado o ScoringMathTea em ataques anteriores a empresas de tecnologia na Índia e na Polônia. A MISTPEN também foi associada a campanhas em setores críticos como aeroespacial e energia. A descoberta desses ataques ressalta a crescente preocupação com a segurança cibernética em indústrias estratégicas e a necessidade de vigilância constante contra ameaças emergentes.

Um coletivo de hackers marroquinos, conhecido como Atlas Lion, tem atacado empresas que emitem cartões-presente, utilizando técnicas de phishing para infiltrar seus sistemas. A campanha, chamada de ‘Jingle Thief’, é mais ativa durante a temporada de festas. Os atacantes realizam um mapeamento detalhado da infraestrutura de TI das empresas, focando em plataformas como SharePoint e OneDrive, antes de se passarem por funcionários autorizados para solicitar ou aprovar transações de cartões-presente. Essa abordagem evita o uso de malware, o que poderia acionar alarmes de segurança. Os cartões-presente são alvos atrativos para cibercriminosos, pois são rápidos, fungíveis e difíceis de rastrear, permitindo que os criminosos os revendam facilmente no mercado negro. A pesquisa da Unit 42, da Palo Alto Networks, revelou que os hackers mantiveram acesso aos sistemas por quase um ano, comprometendo mais de 60 contas de usuários em uma única empresa global. Embora o valor total roubado não tenha sido divulgado, a natureza dos cartões-presente torna a recuperação e a atribuição de responsabilidade extremamente desafiadoras.

Pesquisadores de segurança da Wordfence analisaram uma nova cepa de malware que utiliza a capacidade de funções variáveis do PHP e cookies para obfuscação sofisticada, dificultando a detecção. Embora a técnica não seja nova, ela evolui constantemente e é prevalente em ataques direcionados a ambientes WordPress. Em setembro de 2025, foram registradas mais de 30.000 detecções desse tipo de malware, todas bloqueadas pelas assinaturas de malware da Wordfence.

O malware se aproveita da funcionalidade de ‘funções variáveis’ do PHP, permitindo que nomes de funções sejam armazenados em variáveis e executados dinamicamente. Isso facilita a execução de comandos arbitrários, tornando a detecção mais difícil, especialmente quando os nomes das funções são construídos de forma dinâmica. Além disso, a análise revelou que esses malwares frequentemente utilizam cookies para acionar a execução de scripts, dependendo da presença de um número específico de cookies e marcadores.

A Atlassian revelou uma vulnerabilidade crítica de travessia de caminho no Jira Software Data Center e Server, identificada como CVE-2025-22167. Essa falha permite que atacantes autenticados modifiquem arquivos acessíveis ao processo da Máquina Virtual Java (JVM) do Jira, apresentando um risco significativo para organizações que utilizam essa plataforma para gerenciamento de projetos e rastreamento de problemas. Com uma pontuação CVSS de 8.7, a vulnerabilidade pode comprometer a integridade do sistema, permitindo que arquivos críticos, como arquivos de configuração e dados de aplicação, sejam alterados. A falha é especialmente preocupante em ambientes multi-inquilinos, onde várias organizações compartilham a mesma instância do Jira. A Atlassian já lançou patches para corrigir a vulnerabilidade, e as organizações afetadas devem priorizar a atualização imediata para as versões mais recentes. As versões vulneráveis incluem a 9.12.0 e outras variantes, com recomendações específicas de atualização para cada ramo de versão. A transparência da Atlassian em divulgar essa falha oferece às organizações tempo suficiente para aplicar as correções antes que a exploração ocorra.

Uma vulnerabilidade crítica, identificada como CVE-2025-54236 e chamada de SessionReaper, está sendo explorada ativamente por hackers em plataformas de comércio eletrônico como Adobe Commerce e Magento. Essa falha permite a execução remota de código e a tomada de controle de contas de clientes em milhares de lojas online. Detectada pela primeira vez em 22 de outubro de 2025, a vulnerabilidade combina uma sessão maliciosa com um bug de desserialização na API REST do Magento, permitindo que atacantes façam upload de backdoors PHP disfarçados. Apesar de um patch de emergência ter sido lançado pela Adobe em 9 de setembro, a adoção do mesmo foi lenta, com menos de 40% das lojas afetadas aplicando a correção até a data da descoberta. A situação é agravada pelo fato de que a Adobe inicialmente minimizou a gravidade da vulnerabilidade em seu aviso oficial. Com 62% das lojas ainda sem correção, a ameaça continua a evoluir, exigindo ações imediatas por parte dos administradores de sistemas para evitar compromissos.

Pesquisadores de segurança da Brave descobriram uma vulnerabilidade crítica no navegador Comet da Perplexity, que permite a injeção de comandos maliciosos por meio de texto oculto em capturas de tela. Essa falha explora a esteganografia para esconder instruções perigosas em conteúdos da web. Ao tirar uma captura de tela de uma página comprometida, o navegador utiliza tecnologia de reconhecimento óptico de caracteres (OCR) para extrair todo o texto, incluindo os comandos maliciosos ocultos. O problema crítico é que essas instruções são enviadas diretamente para o sistema de IA sem qualquer filtragem, permitindo que atacantes manipulem o navegador para realizar ações não autorizadas. As consequências para os usuários são graves, especialmente para aqueles que mantêm sessões ativas em contas sensíveis, pois um ataque bem-sucedido pode resultar em acesso não autorizado a contas bancárias, roubo de e-mails e comprometimento de sistemas corporativos. Os pesquisadores da Brave relataram a vulnerabilidade à Perplexity em 1º de outubro de 2025, dando tempo para a empresa corrigir o problema antes da divulgação pública. Até que medidas de segurança adequadas sejam implementadas, os especialistas recomendam que os usuários evitem manter contas sensíveis logadas ao usar recursos de navegação do Comet.

Cibercriminosos estão cada vez mais direcionando suas operações fraudulentas a populações vulneráveis, especialmente idosos, utilizando táticas sofisticadas de engenharia social. Em 2024, o Centro de Queixas de Crimes na Internet do FBI (IC3) registrou perdas de US$ 4,8 bilhões entre vítimas com 60 anos ou mais, quase o dobro de qualquer outro grupo etário. Um relatório da Graphika destaca uma rede internacional de fraudadores ativos em plataformas de mídia social, como Facebook e Instagram, que utilizam sites clonados, vozes geradas por IA e credenciais fabricadas para dar credibilidade a esquemas fraudulentos. Os golpistas frequentemente se passam por entidades conhecidas, como agências governamentais e organizações de caridade, para atrair vítimas. Uma vez estabelecida a confiança, os alvos são direcionados para portais de phishing que solicitam informações pessoais e financeiras. As campanhas fraudulentas, que se disfarçam como ‘ajudas financeiras’ ou ‘programas de verificação de beneficiários’, exploram as ansiedades financeiras das vítimas. A análise da Graphika revela que esses golpistas utilizam automação e campanhas publicitárias de curta duração para manter suas operações. A natureza multifacetada desses golpes aumenta sua persistência e alcance, levando a uma necessidade urgente de conscientização e educação sobre fraudes online, especialmente entre os idosos.

O grupo de ransomware Qilin, baseado na Rússia, alcançou um marco alarmante ao reivindicar seu 700º ataque em 2025, superando o total de vítimas do ano anterior do grupo RansomHub. Desde sua aparição em 2022, Qilin ganhou notoriedade em 2023 e, em 2024, registrou 179 vítimas, número que quadruplicou neste ano. O modelo de negócios Ransomware-as-a-Service (RaaS) tem impulsionado sua atividade, especialmente após o desaparecimento do RansomHub, que levou seus afiliados a se unirem ao Qilin. Os principais alvos incluem setores críticos como manufatura, finanças, varejo, saúde e agências governamentais, onde a criptografia de sistemas e o roubo de dados podem causar grandes interrupções. Até agora, Qilin já comprometeu 788.377 registros e roubou 116 TB de dados. Os Estados Unidos são o país mais afetado, seguido por França, Canadá e Coreia do Sul. O aumento de ataques no setor educacional, com um crescimento de 420% em relação ao ano anterior, é particularmente preocupante, assim como os ataques a entidades governamentais, que subiram 344%. O impacto financeiro e a conformidade com a LGPD são preocupações significativas para as organizações brasileiras.

Com o aumento exponencial de identidades de máquina em ambientes de nuvem, as empresas estão experimentando ganhos significativos de produtividade ao eliminar credenciais estáticas, como chaves de API e senhas. Embora soluções de gerenciamento de segredos, como HashiCorp Vault e CyberArk, tenham sido adotadas, elas ainda dependem de segredos estáticos que requerem gerenciamento cuidadoso. A transição para identidades gerenciadas, que emitem credenciais temporárias e rotacionadas automaticamente, representa uma mudança de paradigma. Provedores de nuvem como AWS, Azure e Google Cloud estão liderando essa transformação, oferecendo soluções que simplificam a autenticação e a autorização entre diferentes plataformas. No entanto, a realidade é complexa, pois APIs de terceiros e sistemas legados ainda exigem segredos compartilhados. A falta de visibilidade sobre o uso atual de credenciais é um desafio significativo, e plataformas como GitGuardian ajudam as organizações a mapear suas identidades não humanas antes da implementação de sistemas modernos. A redução do uso de segredos estáticos pode melhorar a segurança e a eficiência operacional, mas requer uma abordagem estratégica para a migração e gerenciamento de segredos remanescentes.

O artigo destaca como cibercriminosos aproveitam vulnerabilidades em sistemas e na confiança dos usuários para realizar ataques. Um exemplo é a queda na atividade do malware Lumma Stealer, que ocorreu após a exposição de identidades de seus desenvolvedores, resultando na migração de clientes para outras ferramentas como Vidar Stealer 2.0. Este novo malware, reescrito em C, apresenta técnicas avançadas de extração de credenciais e evasão de detecções. Além disso, um esquema de fraude em larga escala em Cingapura utilizou imagens de autoridades locais para enganar cidadãos em uma plataforma de investimentos falsa, demonstrando como a confiança em instituições pode ser manipulada. Outro ponto crítico é a descoberta de um pacote npm malicioso que comprometeu a cadeia de suprimentos de software, reforçando a necessidade de cautela ao instalar pacotes de código aberto. O artigo também menciona a multa de $176 milhões imposta ao Cryptomus, uma plataforma de pagamentos digitais, por não reportar transações suspeitas ligadas a crimes graves. A SpaceX desativou dispositivos Starlink usados em centros de fraude na região do Sudeste Asiático, evidenciando a resposta a crimes cibernéticos em escala global.

Um novo ciclo de ataques cibernéticos, atribuído a atores de ameaças ligados à Coreia do Norte, está visando empresas europeias do setor de defesa, conforme relatado pela ESET. Esta campanha, conhecida como Operação Dream Job, tem como alvo empresas envolvidas na fabricação de veículos aéreos não tripulados (UAVs), sugerindo uma conexão com os esforços da Coreia do Norte para expandir seu programa de drones. Os ataques utilizam malwares como ScoringMathTea e MISTPEN para roubar informações proprietárias e know-how de fabricação. A ESET observou o início desta campanha em março de 2025, com alvos que incluem uma empresa de engenharia metalúrgica e um fabricante de componentes aeronáuticos na Europa Central e Sudeste. A Operação Dream Job, exposta pela ClearSky em 2020, é conduzida pelo grupo de hackers Lazarus, que utiliza engenharia social para atrair vítimas com ofertas de emprego falsas, levando à infecção de sistemas com malware. A estratégia do grupo é caracterizada por um padrão previsível, mas eficaz, que permite a evasão de detecções de segurança, embora não esconda sua identidade.

Pesquisas de segurança da Trail of Bits revelam que agentes de inteligência artificial modernos estão vulneráveis a ataques de injeção de argumentos, permitindo a execução remota de código (RCE). Essa vulnerabilidade explora uma falha arquitetônica fundamental na forma como esses agentes lidam com a execução de comandos do sistema. Ao utilizar utilitários de linha de comando como find, grep e git, os sistemas se tornam mais rápidos, mas também expõem uma superfície de ataque perigosa quando a entrada do usuário influencia os parâmetros dos comandos.

O Centro de Pesquisa Avançada da Trellix revelou uma nova campanha do grupo APT SideWinder, que utiliza um encadeamento de infecção baseado em PDF e ClickOnce para atacar alvos governamentais na Ásia do Sul. A campanha, ocorrida em setembro de 2025, visou diplomatas de países como Sri Lanka, Paquistão e Bangladesh, utilizando e-mails de phishing com documentos que pareciam legítimos. Ao clicar em um botão malicioso no PDF, as vítimas baixaram um aplicativo ClickOnce disfarçado de instalador do Adobe Reader, que, na verdade, carregava um DLL malicioso. Essa DLL, assinada com um certificado legítimo, permitiu a instalação de um malware chamado StealerBot. A análise da Trellix destacou que o SideWinder explorou uma vulnerabilidade no processo de instalação do ClickOnce, permitindo que dependências maliciosas fossem baixadas sem verificação de assinatura. O ataque demonstrou um nível elevado de sofisticação, com técnicas de evasão e obfuscação para dificultar a análise por pesquisadores fora da região. A campanha reflete a evolução das táticas do grupo, que agora utiliza métodos mais complexos para contornar defesas tradicionais e realizar espionagem.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança crítica no Motex Lanscope Endpoint Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-61932, possui uma pontuação CVSS v4 de 9.3 e afeta versões locais do Lanscope, especificamente o programa Cliente e o Agente de Detecção. Essa falha permite que atacantes executem código arbitrário em sistemas vulneráveis ao enviar pacotes especialmente elaborados. A CISA recomenda que as agências do Federal Civilian Executive Branch (FCEB) remedeiem essa vulnerabilidade até 12 de novembro de 2025, a fim de proteger suas redes. Embora ainda não se saiba como a vulnerabilidade está sendo explorada em ataques reais, o portal japonês Japan Vulnerability Notes (JVN) informou que um cliente da Motex recebeu um pacote malicioso suspeito de visar essa falha. As versões afetadas são as 9.4.7.1 e anteriores, enquanto as versões corrigidas incluem a 9.4.6.3.

Pesquisadores de cibersegurança identificaram um grupo de cibercriminosos chamado Jingle Thief, que tem como alvo ambientes de nuvem de organizações nos setores de varejo e serviços ao consumidor, visando fraudes com cartões-presente. Os atacantes utilizam técnicas de phishing e smishing para roubar credenciais e comprometer organizações que emitem esses cartões. Após obter acesso, eles buscam maximizar seu nível de acesso para emitir cartões não autorizados, que são revendidos em mercados paralelos, devido à sua natureza de difícil rastreamento.

No último domingo (19), a fintech brasileira FictorPay sofreu um ciberataque que resultou no desvio de R$ 26 milhões de seus clientes. O ataque foi possível devido a um vazamento de credenciais da empresa de software Dilleta Solutions, que confirmou a invasão e está colaborando com as autoridades para investigar o caso. Os hackers realizaram 282 transferências via Pix para 271 contas laranjas, utilizando um modelo de operação que não respeitava os limites de transações impostos pelo Banco Central (BC). Embora a FictorPay não tenha seus sistemas diretamente comprometidos, a situação levantou preocupações sobre a segurança do sistema Pix, especialmente em relação a limites de transações. O BC já havia imposto um limite de R$ 15 mil para transações de instituições não autorizadas, e agora considera estender essa limitação para instituições autorizadas, dada a gravidade do incidente. O ataque também afetou outros parceiros da Dilleta, totalizando um desvio de até R$ 40 milhões. A Celcoin, que integra a FictorPay ao sistema Pix, negou invasões diretas em seus sistemas, mas foi alertada sobre movimentações atípicas pelo BC.

Cibercriminosos têm explorado uma vulnerabilidade no ToolShell do Microsoft SharePoint, identificada como CVE-2025-53770, para invadir instituições governamentais em diversos continentes. Apesar de um patch ter sido lançado em julho de 2025 para corrigir a falha, ataques foram registrados em agências de telecomunicações no Oriente Médio, departamentos governamentais na África, agências estatais na América do Sul e uma universidade nos Estados Unidos. A vulnerabilidade permitia burlar a autenticação e executar códigos remotamente, sendo utilizada em conjunto com outras falhas, como CVE-2025-49704 e CVE-2025-49706, por grupos hackers chineses. Esses grupos, como Linen Typhoon e Violet Typhoon, têm utilizado malwares zero-day para realizar suas invasões. Além disso, técnicas de evasão de DLL foram empregadas para entregar malwares em servidores SQL e Apache HTTP. Os ataques visam roubar credenciais e garantir acesso persistente aos sistemas das vítimas, sugerindo um interesse em espionagem. A situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos de segurança.