Cibersegurança

Pacotes npm do Mastra comprometidos em ataque à cadeia de suprimentos

Um ataque à cadeia de suprimentos de software, denominado easy-day-js, comprometeu 144 pacotes npm associados ao namespace Mastra, um framework popular de JavaScript e TypeScript para aplicações de inteligência artificial. O ataque foi identificado por empresas de segurança como JFrog, SafeDep, Socket e StepSecurity. Um único usuário npm, identificado como ’ehindero’, publicou mais de 140 pacotes maliciosos em um curto espaço de tempo. Embora os pacotes infectados não contenham código malicioso, eles dependem de uma biblioteca de terceiros chamada ’easy-day-js’, que foi alterada para incluir um payload ofuscado. Esse payload é ativado durante um hook de pós-instalação e se conecta a um servidor controlado pelos atacantes para baixar um trojan que rouba informações, incluindo dados de carteiras de criptomoedas. O ataque afetou pacotes amplamente utilizados, como o @mastra/core, que possui mais de 918 mil downloads semanais. A Npm já removeu as versões maliciosas, mas qualquer ambiente que tenha instalado essas versões deve ser considerado potencialmente comprometido.

Novo trojan bancário Android Rokarolla ataca 217 aplicativos

Um novo trojan bancário para Android, denominado Rokarolla, está atacando 217 aplicativos de bancos e criptomoedas, utilizando um conjunto extenso de 137 comandos. O malware é distribuído por meio de sites maliciosos que se passam por provedores do Google Chrome ou TikTok, permitindo que os invasores assumam o controle administrativo total de dispositivos comprometidos. Entre suas capacidades, estão o roubo de credenciais de tela de bloqueio, listas de contatos e dados de SMS, além de registrar continuamente as entradas do usuário através de keyloggers.

Plugins maliciosos no JetBrains Marketplace roubam chaves de API de IA

Uma campanha de malware foi descoberta no JetBrains Marketplace, onde pelo menos 15 plugins maliciosos foram projetados para roubar chaves de API de IA de desenvolvedores. Os plugins, que atuam como assistentes de codificação e ferramentas de revisão de código, foram baixados cerca de 70.000 vezes. Aikido Security, a empresa que identificou a ameaça, revelou que os plugins exfiltram as chaves de API assim que o usuário clica em ‘Aplicar’ após inseri-las nas configurações. Os dados são enviados para um servidor específico, comprometendo a segurança dos desenvolvedores. Embora os plugins funcionem como prometido, eles secretamente transmitem as credenciais para os atacantes. Além disso, a pesquisa sugere que os operadores dos plugins podem estar coletando credenciais de usuários gratuitos para fornecer chaves a usuários pagos. A análise de um dos plugins, o DeepSeek AI Assist, confirmou a presença do código de roubo de credenciais. Até o momento, o plugin ainda está disponível para download no Marketplace, o que levanta preocupações sobre a segurança da plataforma.

Inteligência de IP e o Desafio da Infraestrutura Anônima

As equipes de segurança enfrentam um desafio crescente na análise de dados de IP, especialmente com o aumento do uso de infraestrutura de anonimização, como VPNs e proxies residenciais. Um estudo recente da Spur Intelligence revelou que quase metade dos profissionais de segurança entrevistados relatou impactos operacionais significativos devido a tentativas de roubo de contas e abuso de credenciais através dessas tecnologias. Embora as organizações reconheçam a importância da inteligência de IP, muitas ainda a utilizam de forma reativa, principalmente após a geração de alertas. A falta de contexto em dados de IP, como classificação de infraestrutura e padrões comportamentais, dificulta a tomada de decisões eficazes. Além disso, a preocupação com riscos internos, como o uso de dispositivos pessoais e aplicativos de consumo, é frequentemente subestimada. Para enfrentar esses desafios, as equipes de segurança devem integrar a inteligência de IP em seus fluxos de trabalho de forma proativa, buscando não apenas identificar endereços IP suspeitos, mas também entender a infraestrutura e o comportamento por trás deles. O futuro da inteligência de IP está em fornecer contexto rico, automação e uma base sólida para controles de segurança baseados em risco.

Falha no Google Cloud permite sequestro de modelos de ML

Uma vulnerabilidade no SDK do Google Cloud Vertex AI para Python permitiu que um atacante, sem acesso ao projeto da vítima, sequestrasse modelos de aprendizado de máquina e executasse código na infraestrutura de serviços do Google. A técnica, chamada de “Pickle in the Middle” pela Palo Alto Networks Unit 42, foi descoberta e relatada através do programa de recompensas por vulnerabilidades do Google. O problema estava na forma como o SDK gerava nomes de buckets temporários para uploads de modelos. Se o usuário não especificasse um bucket, o SDK criava um nome previsível a partir do ID do projeto e da região, permitindo que um atacante criasse o bucket esperado em seu próprio projeto. Assim, o modelo da vítima era enviado para o bucket do atacante, que poderia substituí-lo por um modelo malicioso. Esse modelo, ao ser carregado pelo Vertex AI, executava código malicioso, permitindo o roubo de tokens OAuth e acesso a outros artefatos do projeto. A falha foi corrigida nas versões 1.148.0 e posteriores do SDK, e recomenda-se que os usuários atualizem e especifiquem um bucket de armazenamento controlado ao fazer uploads de modelos.

Mais de 1 milhão de sites WordPress em risco após plugin popular ser hackeado

Mais de um milhão de sites WordPress estão em risco de serem comprometidos devido a uma vulnerabilidade no plugin UpdraftPlus, que foi explorada em um ataque de cadeia de suprimentos. O ataque, identificado pela empresa de segurança Sansec, afetou o servidor de marketing da Awesome Motive, responsável por produtos populares como OptinMonster. Os hackers conseguiram acessar credenciais do servidor e injetar scripts JavaScript maliciosos que só eram ativados quando administradores logados visitavam os sites afetados. Isso permitiu que os atacantes coletassem tokens de autenticação e criassem contas de administrador falsas, possibilitando o controle total dos sites. Os proprietários de sites são aconselhados a verificar a presença de contas de administrador não autorizadas e a realizar varreduras de malware. Além disso, é recomendado que senhas e chaves de API sejam rotacionadas para mitigar o risco de comprometimento contínuo.

Maine desativa portal de notificação de vazamentos após inundação de falsas alegações

O estado do Maine, nos EUA, desativou temporariamente seu portal de notificação de vazamentos de dados após receber uma série de alegações fraudulentas. O portal, que permite que organizações relatem incidentes de segurança que afetam residentes do Maine, foi alvo de notificações falsas que se passavam por empresas conhecidas como Discord e VRChat. Após a confirmação de que essas alegações eram hoaxes, a Procuradoria Geral do Maine decidiu suspender o acesso público ao portal para investigar o caso. Embora as empresas ainda possam enviar notificações, o público não terá mais acesso às informações até que a situação seja resolvida. A Procuradoria Geral ressaltou que não há conhecimento de vazamentos legítimos por parte das empresas mencionadas, e que as notificações falsas foram removidas do sistema. A investigação visa prevenir abusos futuros do sistema de notificação, que é uma ferramenta importante para a transparência em questões de segurança de dados.

Técnicas de Ataque com Junctions NTFS O Caso do GhostTree

O artigo explora como junctions e links simbólicos do sistema de arquivos NTFS podem ser utilizados por atacantes para criar estruturas de diretórios recursivas, conhecidas como GhostTree e GhostBranch. Essas técnicas permitem que um usuário, sem privilégios administrativos, crie loops que geram caminhos de arquivos praticamente infinitos. Isso pode dificultar a detecção de arquivos maliciosos, pois ferramentas de segurança, como produtos EDR, podem ficar presas nesses loops, deixando os arquivos maliciosos sem exame. O GhostBranch é uma técnica mais simples que cria um loop lógico ao apontar um diretório filho de volta para o diretório pai, enquanto o GhostTree expande essa ideia, permitindo múltiplos diretórios filhos que também se conectam ao pai, aumentando exponencialmente o número de caminhos válidos. O artigo destaca a importância de monitorar a atividade do sistema de arquivos para detectar essas anomalias e sugere que a visibilidade e o controle de acesso são cruciais para a proteção de dados sensíveis. A técnica foi testada contra o Windows Defender, confirmando sua eficácia em evitar a detecção de malware. A Varonis, autora do artigo, oferece soluções para monitoramento e proteção de dados em ambientes corporativos.

Ameaça de malware no Steam Workshop compromete contas de usuários

Pesquisadores da Kaspersky alertam sobre uma nova onda de ataques cibernéticos que exploram o Steam Workshop, plataforma da Valve para compartilhamento de conteúdo de jogos. Os atacantes estão utilizando pacotes de papéis de parede infectados para disseminar malware, que pode resultar no sequestro de contas Steam, instalação de backdoors e execução de processos de criptomineria. O Wallpaper Engine, um aplicativo popular para personalização de papéis de parede, é o vetor principal dessa ameaça. Os wallpapers maliciosos podem conter arquivos executáveis que, ao serem instalados, ativam automaticamente o malware. Os pesquisadores identificaram diversas variantes de malware, incluindo infostealers e mineradores de criptomoedas, que já foram baixados milhares de vezes. Embora a Valve tenha removido os wallpapers maliciosos identificados, a Kaspersky alerta que novos arquivos prejudiciais podem ser enviados a qualquer momento. Para se proteger, os usuários devem baixar conteúdos apenas de fontes confiáveis e utilizar antivírus atualizados para escanear os downloads do Steam Workshop.

Campanhas de malware ClickFix visam organizações financeiras e educacionais

Pesquisadores de cibersegurança identificaram várias campanhas de malware conhecidas como ClickFix, que distribuem três carregadores de malware: BabaDeda Loader, Lorem Ipsum Loader e Potemkin. O BabaDeda Loader, observado em abril de 2026, tem como alvo organizações educacionais e financeiras, utilizando técnicas de engenharia social para induzir usuários a executar comandos PowerShell maliciosos. Este carregador é projetado para evitar sistemas na Rússia e Belarus e realiza verificações de segurança antes de injetar cargas úteis em processos confiáveis do Windows. Entre as cargas úteis estão backdoors .NET que coletam dados sensíveis e estabelecem canais criptografados com servidores de comando e controle (C2).

Na era das ameaças baseadas em IA, o zero-trust não é mais suficiente

O conceito de zero-trust, que se tornou fundamental nas estratégias de cibersegurança, enfrenta novos desafios com o aumento das ameaças baseadas em inteligência artificial (IA). Embora 50% das organizações planejem adotar a governança de dados zero-trust até 2028, a evolução das ameaças exige uma abordagem mais abrangente. Especialistas alertam que a arquitetura de zero-trust (ZTA) não é uma solução única e que suas limitações precisam ser reconhecidas. Com o aumento de fraudes como deepfakes e ataques autônomos, a ZTA deve evoluir para monitorar continuamente interações entre agentes autônomos e não apenas focar em controles de identidade e acesso. Além disso, a linguagem natural se torna uma nova superfície de ataque, exigindo controles humanos para evitar manipulações. A velocidade e a escala dos ataques aumentaram, tornando essencial que as equipes de cibersegurança adotem uma abordagem baseada em dados e avaliação contínua para garantir a eficácia das medidas de segurança. A ZTA deve, portanto, se adaptar para governar ecossistemas de máquina a máquina, respondendo dinamicamente a atividades anômalas em tempo real.

Ransomware DragonForce usa malware para ocultar tráfego no Teams

O ransomware DragonForce, ativo desde 2023, utiliza um malware personalizado chamado ‘Backdoor.Turn’ para esconder o tráfego de comando e controle dentro da infraestrutura de relé do Microsoft Teams. Esse backdoor explora o protocolo TURN (Traversal Using Relays around NAT) do Teams, que é usado para distribuir mensagens quando uma conexão direta não está disponível. Pesquisadores da Symantec relataram que os hackers usaram esse malware baseado em Go em um ataque contra uma grande empresa de serviços nos EUA. O ataque começou com a exploração de uma falha desconhecida em um servidor SQL, seguido pelo download de um arquivo ZIP contendo um executável legítimo e um DLL malicioso. Os atacantes conseguiram obter privilégios de nível de kernel e desativar ferramentas de segurança, utilizando técnicas de BYOVD (Bring Your Own Vulnerable Driver). O Backdoor.Turn permite execução de comandos, criação de processos, e roubo de credenciais, culminando na exfiltração de dados e na implantação do ransomware DragonForce. A Sophos destaca que essa campanha demonstra um nível excepcionalmente sofisticado de técnicas cibernéticas. A publicação inclui uma lista de indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio de tais ataques.

Fraudes por impostores causam perdas de US 3,5 bilhões nos EUA em 2025

A Comissão Federal de Comércio dos EUA (FTC) alertou que os americanos perderam US$ 3,5 bilhões devido a fraudes por impostores em 2025, com as perdas quase triplicando desde 2020. Essas fraudes foram a categoria de fraude mais relatada, representando quase um em cada três relatos feitos à FTC. Os golpistas utilizam mensagens de texto, chamadas telefônicas, e-mails e redes sociais para atingir suas vítimas. Os esquemas mais onerosos geralmente envolvem alertas falsos de segurança bancária, levando as vítimas a transferir fundos para ‘proteger’ suas contas. Os dados da FTC indicam que quase US$ 1 bilhão foi perdido para impostores de negócios, enquanto aproximadamente US$ 920 milhões foram perdidos para impostores governamentais. As redes sociais se destacaram como o vetor de ataque mais eficaz, com perdas superiores a US$ 2,1 bilhões, um aumento de oito vezes desde 2020. A FTC implementou a Regra de Impersonação em abril de 2024, resultando em ações de aplicação da lei contra várias empresas por fraudes relacionadas. O FBI também relatou que as vítimas nos EUA perderam quase US$ 21 bilhões para crimes cibernéticos em 2025, destacando a gravidade da situação.

Governo do Reino Unido proíbe redes sociais para menores de 16 anos

O governo do Reino Unido anunciou a proibição do uso de redes sociais para menores de 16 anos, com regulamentações previstas para serem implementadas até a primavera de 2027. Para garantir a aplicação da nova regra, as plataformas deverão realizar verificações de idade, o que significa que novos usuários precisarão comprovar sua idade por meio de documentos de identidade ou reconhecimento facial. Embora contas antigas estejam isentas, a criação de novas contas exigirá essa verificação, eliminando a possibilidade de perfis anônimos. Especialistas em segurança e privacidade alertam que esses métodos de verificação são facilmente contornáveis e podem expor dados pessoais a riscos de vazamentos. O primeiro-ministro Keir Starmer justificou a medida com base em uma consulta nacional que revelou que 90% dos pais apoiam a proibição. A nova legislação se inspira em um modelo australiano e incluirá restrições em recursos de alto risco, como transmissões ao vivo e contato com estranhos, que também se aplicarão a jovens de 16 e 17 anos. No entanto, a eficácia da verificação de idade é questionada, com especialistas afirmando que as medidas podem ser mais prejudiciais do que benéficas, aumentando o risco de roubo de identidade e vazamentos de dados. Além disso, a utilização de VPNs pode contornar essas restrições, permitindo que menores acessem as plataformas de forma não regulamentada.

Novas variantes do malware SprySOCKS afetam Windows

Pesquisadores de cibersegurança identificaram duas variantes do malware SprySOCKS, anteriormente conhecido como um backdoor exclusivo para Linux, agora adaptadas para Windows. As variantes, denominadas WIN_DRV e WIN_PLUS, possuem configurações de comando e controle (C&C) embutidas e suportam comunicação via TCP, UDP e WebSocket. Ambas as versões permitem a execução de mais de 30 comandos, incluindo coleta de informações do sistema e gerenciamento de processos. A variante WIN_DRV utiliza drivers de kernel para ocultar conexões de rede e processos, enquanto a WIN_PLUS se aproveita do serviço de spooler de impressão do Windows para iniciar o backdoor. As evidências sugerem que essas variantes foram implantadas em ataques direcionados a organizações governamentais em países como Honduras, Taiwan e Paquistão entre 2023 e 2024. A descoberta dessas versões para Windows representa uma expansão significativa das capacidades do grupo de espionagem cibernética conhecido como FishMonger, que está associado a um ator de ameaças patrocinado pelo estado chinês. A análise revela que a arquitetura central do SprySOCKS foi preservada, mas com melhorias na furtividade e na adaptação a mecanismos nativos do Windows.

Ameaças em Fortinet FortiSandbox Vulnerabilidades em Exploração

Recentemente, a empresa de inteligência em ameaças Defused Cyber alertou sobre a exploração ativa de múltiplas vulnerabilidades no Fortinet FortiSandbox. Nos últimos dias, três falhas críticas foram identificadas: CVE-2026-39813, CVE-2026-39808 e CVE-2026-25089, todas com uma pontuação CVSS de 9.1, indicando seu alto risco. A CVE-2026-39813 é uma vulnerabilidade de travessia de caminho na API JRPC do FortiSandbox, permitindo que atacantes não autenticados contornem a autenticação através de requisições HTTP manipuladas. A CVE-2026-39808, por sua vez, é uma injeção de comando do sistema operacional, que também pode ser explorada por atacantes não autenticados para executar comandos não autorizados. A CVE-2026-25089, corrigida recentemente, afeta o FortiSandbox e suas interfaces na nuvem, permitindo a execução de comandos não autorizados. Apesar de a Defused Cyber ter notado que o exploit para a CVE-2026-25089 parece ter sido desenvolvido com um modelo de inteligência artificial, ele apresenta falhas e ainda não foi divulgado publicamente. As vulnerabilidades em dispositivos Fortinet têm atraído a atenção de atacantes nos últimos anos, com a empresa já tendo lançado patches para outras falhas críticas em abril de 2026.

Novo trojan bancário para Android ameaça 217 aplicativos financeiros

Pesquisadores de segurança da Zimperium documentaram um novo trojan bancário para Android, chamado Rokarolla, que ataca 217 aplicativos de bancos e criptomoedas. O malware, que possui 137 comandos remotos, permite que um operador tenha controle quase total do dispositivo infectado. Entre suas funcionalidades, estão a captura de PINs de bloqueio, leitura e envio de SMS, redirecionamento de pagamentos em criptomoedas e desativação do Google Play Protect. O Rokarolla se espalha por sites maliciosos que se disfarçam de aplicativos conhecidos, como TikTok e Chrome. Ao ser instalado, ele se apresenta como Google Play Protect para obter acesso de acessibilidade e, em seguida, desativa a proteção. O roubo de informações ocorre através de sobreposições, onde páginas de login falsas são exibidas sobre os aplicativos legítimos, capturando dados sensíveis dos usuários. Além disso, o malware pode ler mensagens SMS, interceptar códigos de autenticação e modificar a área de transferência para redirecionar pagamentos. A Zimperium alerta que não há um patch a ser aplicado, pois se trata de um malware, e recomenda que os usuários instalem aplicativos apenas da Google Play e mantenham o Play Protect ativado.

O setor financeiro sobreviveu à ameaça quântica se preparando cedo

Nos últimos anos, o setor financeiro global enfrentou a ameaça da criptografia quântica, que poderia tornar vulneráveis as informações digitais, desde e-mails até dados bancários. Especialistas em cibersegurança se mobilizaram para desenvolver novas formas de criptografia, garantindo que, mesmo sem a tecnologia quântica plenamente desenvolvida, as defesas estivessem preparadas. Recentemente, o modelo Claude Mythos da Anthropic trouxe à tona novas preocupações, identificando milhares de falhas de software em sistemas operacionais e navegadores. Essa situação exige atenção especial de empresas que operam no ecossistema financeiro, pois a velocidade com que essas vulnerabilidades podem ser exploradas aumentou significativamente devido ao uso de inteligência artificial. A diretora do FMI, Kristalina Georgieva, alertou que o mundo ainda não possui ferramentas adequadas para proteger o sistema monetário internacional contra esses riscos cibernéticos em expansão. O artigo destaca a importância de uma preparação proativa, como demonstrado pelo Projeto Leap, que testou algoritmos de criptografia pós-quântica antes da ameaça se concretizar. Essa abordagem colaborativa entre bancos centrais e provedores de infraestrutura é um modelo a ser seguido para enfrentar novas ameaças emergentes.

iRhythm Holdings revela violação de dados de pacientes

A empresa de saúde digital iRhythm Holdings anunciou uma violação de dados após hackers terem roubado informações pessoais e de saúde de pacientes armazenadas em aplicações de negócios hospedadas por terceiros. A iRhythm, que fornece serviços de monitoramento cardíaco, analisou mais de 2 bilhões de horas de dados de batimentos cardíacos de mais de 12 milhões de pacientes. Em um comunicado à Comissão de Valores Mobiliários dos EUA (SEC), a empresa informou que descobriu o incidente em 8 de junho de 2026 e iniciou uma investigação com especialistas em cibersegurança. Os atacantes, que se comunicaram com a empresa em 9 de junho, exigiram um resgate para não divulgar as informações roubadas. A iRhythm confirmou que dados foram exfiltrados, mas não encontrou evidências de que a violação afetou seus produtos ou a segurança dos pacientes. A empresa também destacou que não armazena informações financeiras de pacientes e que o acesso foi realizado através de engenharia social. O incidente ressalta a vulnerabilidade de dados sensíveis em aplicações de terceiros e a necessidade de medidas de segurança robustas.

Novas variantes do malware SprySOCKS atacam organizações governamentais

Pesquisadores da ESET identificaram variantes do malware SprySOCKS, originalmente desenvolvido para Linux, sendo utilizadas em ataques direcionados a organizações governamentais em Taiwan, Tailândia, Paquistão e Honduras entre 2023 e 2024. O malware está associado ao grupo de ameaças chinês conhecido como Earth Lusca, que também é rastreado como FishMonger. As novas variantes para Windows, denominadas WIN_DRV e WIN_PLUS, apresentam capacidades avançadas de furtividade em nível de kernel, permitindo que os operadores ocultem artefatos de malware e se comuniquem com o backdoor através de tráfego redirecionado de portas TCP arbitrárias. O WIN_DRV inclui drivers de kernel para funcionalidades semelhantes a rootkits, enquanto o WIN_PLUS é uma versão mais simples. Ambas as variantes podem executar uma ampla gama de comandos, coletar informações do sistema e gerenciar arquivos. Além disso, a ESET observou indícios de um componente de bootkit UEFI que pode explorar uma vulnerabilidade conhecida como CVE-2023-24932. A descoberta dessas variantes indica que o Earth Lusca está ampliando seu arsenal para atingir uma variedade mais diversificada de sistemas, representando uma ameaça significativa para a segurança cibernética global.

Grupo de hackers norte-coreano usa phishing para espalhar malware

O grupo de hackers patrocinado pelo Estado norte-coreano, conhecido como ScarCruft (ou APT37), foi identificado utilizando mensagens de spear-phishing que se disfarçam como notificações de segurança de contas da Microsoft para disseminar um malware chamado NarwhalRAT. Segundo o Genians Security Center (GSC), o e-mail malicioso simula um alerta de segurança, criando uma falsa preocupação sobre possíveis compromissos de conta e abuso de senhas de uso único (OTP), levando a vítima a abrir um anexo. Este anexo, na verdade, é um arquivo ZIP que contém um arquivo LNK malicioso. Ao ser executado, o arquivo LNK inicia uma cadeia de infecção em múltiplas etapas, baixando e instalando o NarwhalRAT, que é capaz de registrar teclas, capturar telas, gravar áudio ambiente e executar comandos de um servidor de comando e controle (C2). O malware se destaca por sua capacidade de se esconder em um diretório disfarçado, evitando a detecção. A infraestrutura de C2 utiliza sites coreanos e a API de armazenamento em nuvem pCloud, o que indica um nível avançado de sofisticação. Essa nova abordagem do ScarCruft representa uma evolução em suas táticas, marcando uma mudança significativa em relação ao RokRAT, um malware anteriormente associado ao grupo.

Vulnerabilidade crítica no software SimpleHelp permite criação de contas privilegiadas

Uma vulnerabilidade no software de gerenciamento remoto SimpleHelp, identificada como CVE-2026-48558, permite que atacantes não autenticados criem contas de técnicos privilegiados em servidores que utilizam o protocolo de autenticação OpenID Connect (OIDC). Essa falha, classificada como de severidade crítica, afeta as versões 5.5.15 e anteriores do SimpleHelp, além de versões pré-lançamento 6.0. A exploração da vulnerabilidade ocorre devido à validação inadequada das afirmações de identidade recebidas de um provedor de identidade OIDC. Quando a autenticação OIDC está habilitada, um atacante pode criar e acessar uma nova conta de Técnico sem passar pelo processo de autenticação multifatorial (MFA). Isso permite que o Técnico execute atividades de gerenciamento privilegiadas, como acessar endpoints gerenciados e executar scripts. A SimpleHelp lançou correções para a vulnerabilidade em 9 de junho, disponibilizando as versões 5.5.16 e 6.0RC2. A vulnerabilidade não afeta todos os servidores SimpleHelp, mas sim aqueles que dependem do protocolo OIDC, sendo que aproximadamente 14.000 servidores estão expostos na internet, com cerca de 7,2% configurados para usar a autenticação OIDC. Organizações são aconselhadas a atualizar para as versões mais recentes ou, se não for possível, restringir as fontes de login dos técnicos por meio de listas de permissões baseadas em IP.

Departamento de Justiça dos EUA apreende sites de deepfake

O Departamento de Justiça dos EUA anunciou a apreensão dos sites CFAKE.com e SOCFAKE.com, que supostamente hospedavam imagens e vídeos gerados por inteligência artificial (IA) de nudez não consensual de mulheres. Esta ação marca a primeira apreensão pública sob a Lei TAKE IT DOWN, que proíbe a publicação de imagens íntimas alteradas sem consentimento. Os sites compartilhavam deepfakes de figuras públicas, incluindo celebridades e políticas de diversos países. A investigação começou após denúncias da polícia italiana, levando a uma colaboração internacional que resultou na apreensão dos domínios e na prisão de um suspeito na França. A Lei TAKE IT DOWN, sancionada em 2025, visa combater a disseminação de pornografia gerada por IA e exige que plataformas online removam conteúdo denunciado em até 48 horas. O ato foi elogiado como uma vitória significativa na luta contra a pornografia de deepfake, destacando a necessidade de proteger mulheres e crianças da exploração digital.

Campanhas cibernéticas maliciosas ligadas à Coreia do Norte

Pesquisadores de cibersegurança identificaram duas campanhas cibernéticas maliciosas associadas a um grupo de ameaças persistente da Coreia do Norte, conhecido como Contagious Interview. Segundo um relatório da Proofpoint, o grupo tem realizado campanhas de phishing direcionadas a quase 100 organizações em setores como finanças, criptomoedas, educação e tecnologia, utilizando temas de recrutamento de desenvolvedores. Os ataques, codificados como UNK_DeadDrop, começam com e-mails que contêm links para repositórios do GitHub controlados pelos atacantes, que hospedam scripts maliciosos. Esses scripts são projetados para executar malware em múltiplas plataformas, incluindo macOS, Linux e Windows, utilizando uma técnica que permite a execução automática de código malicioso ao abrir o Visual Studio Code. O objetivo principal das campanhas é roubar credenciais e dados de extensões de carteiras digitais. Além disso, foram descobertas extensões maliciosas no marketplace do VS Code que funcionam como backdoors sofisticados. As atividades do grupo indicam uma evolução nas operações de cibercrime da Coreia do Norte, com uma mudança de engenharia social ativa para campanhas de phishing em larga escala.

Grupo de espionagem ligado à China compromete redes de pesquisa na América do Norte

Um grupo de espionagem vinculado à China infiltrou-se em redes de pesquisa médica, acadêmica e militar na América do Norte por mais de um ano, roubando informações sensíveis. A entrada ocorreu através de uma porta dos fundos em servidores REDCap, utilizados para gerenciar bancos de dados de estudos. Os atacantes implementaram um malware chamado INFINITERED, que permitiu o roubo de credenciais e o controle do sistema. O método de exfiltração foi inovador: os atacantes manipularam regras de conformidade de conteúdo do Google Workspace para copiar e-mails que correspondiam a palavras-chave específicas para uma conta de e-mail controlada por eles. O Google identificou a campanha e notificou as organizações afetadas, interrompendo a infraestrutura do grupo. A vulnerabilidade inicial não foi especificada, mas o Google observou que o grupo estava explorando versões antigas e vulneráveis do REDCap. A exfiltração de e-mails foi realizada sem a necessidade de malware adicional no servidor de e-mail, utilizando apenas uma funcionalidade legítima do Google Workspace. Este incidente destaca a importância de revisar e proteger as regras de conformidade de conteúdo em ambientes de nuvem.

Conselho da Europa investiga vazamento de dados por grupo criminoso

O Conselho da Europa, a mais antiga entidade intergovernamental do continente, está investigando alegações de um vazamento de dados feito pelo grupo de extorsão ShinyHunters. O grupo afirma ter roubado mais de 429.000 documentos que contêm informações de recursos humanos e folha de pagamento de diversos departamentos do Conselho. Entre os dados supostamente roubados estão mais de 409.000 contracheques de mais de 10.000 funcionários, além de arquivos pessoais, currículos e informações financeiras sensíveis. O ShinyHunters ameaçou divulgar esses dados na próxima terça-feira, caso o Conselho não entre em contato até o dia 16 de junho de 2026. O grupo também é conhecido por ataques a clientes da Salesforce e por explorar vulnerabilidades em softwares empresariais, como o Oracle PeopleSoft. A situação destaca a crescente ameaça de grupos de cibercrime e a necessidade de medidas de segurança robustas para proteger dados sensíveis em organizações governamentais e privadas.

Plugins do WordPress comprometidos em ataque à cadeia de suprimentos

Recentemente, os plugins OptinMonster, TrustPulse e PushEngage do WordPress foram alvo de um ataque à cadeia de suprimentos que afetou a rede de distribuição de conteúdo (CDN) da Awesome Motive. O ataque, descoberto pela empresa de segurança Sansec, ocorreu entre 22:17 e 22:42 UTC na sexta-feira, resultando na injeção de scripts maliciosos em sites que utilizam os plugins. O OptinMonster, que possui mais de 1,2 milhão de usuários, foi o mais impactado. Os atacantes exploraram uma vulnerabilidade conhecida no plugin UpdraftPlus para acessar um servidor que continha credenciais da CDN, permitindo a modificação de arquivos JavaScript e a distribuição de código malicioso. O malware coletava tokens de autenticação, criando contas de administrador não autorizadas e instalando um plugin backdoor que permitia controle remoto total dos sites comprometidos. A Awesome Motive já tomou medidas para remediar a situação, migrando o site afetado para um novo servidor e rotacionando todas as credenciais. Os proprietários de sites afetados são aconselhados a verificar e remover contas de administrador não autorizadas e a realizar varreduras de malware em seus servidores.

Vulnerabilidade no Microsoft 365 permite exfiltração de dados com um clique

Pesquisadores da Varonis Threat Labs descobriram uma vulnerabilidade crítica no Microsoft 365 Copilot que permite a exfiltração de dados com um único clique. Batizada de SearchLeak, a falha resulta da combinação de três bugs, sendo um deles uma injeção de comandos que pode expor informações sensíveis, como e-mails e detalhes de calendário. O ataque é facilitado por um link aparentemente confiável que, ao ser clicado, permite que o Copilot busque dados do usuário sem que ele precise inserir qualquer informação ou senha. O processo envolve a injeção de um código em um parâmetro da URL, que é interpretado pelo Copilot, e a utilização de um endpoint do Bing para contornar as políticas de segurança de conteúdo. A Microsoft já mitigou a falha em seu backend, mas a vulnerabilidade destaca a necessidade de monitoramento e governança de dados mais rigorosos. A CVE-2026-42824 foi atribuída a essa vulnerabilidade, que, embora não tenha sido explorada ativamente, representa um risco significativo para a segurança das informações corporativas.

Vulnerabilidades críticas no LiteLLM podem comprometer servidores

Pesquisadores da Obsidian Security identificaram uma cadeia de três vulnerabilidades críticas no LiteLLM, um gateway de IA de código aberto amplamente utilizado. A primeira falha, CVE-2026-47101, permite que contas de baixo privilégio contornem restrições de autorização, possibilitando que usuários não administradores gerem chaves de API com acesso irrestrito. A segunda vulnerabilidade, CVE-2026-47102, permite a escalonamento de privilégios, onde um usuário pode se promover a administrador completo. Por fim, a CVE-2026-40217 permite a execução de código remoto através de um escape de sandbox, possibilitando que atacantes executem comandos no servidor. A exploração bem-sucedida dessas falhas pode expor chaves de acesso, credenciais e dados sensíveis que transitam pelo gateway. A Obsidian avaliou a gravidade da cadeia de vulnerabilidades com um CVSS de 9.9, classificando-a como crítica. O mantenedor do LiteLLM, BerriAI, lançou uma atualização (v1.83.14-stable) em 2 de maio para corrigir as falhas. É essencial que as organizações atualizem suas implementações e realizem auditorias de segurança para mitigar riscos associados a essas vulnerabilidades.

Novo Nordisk revela ataque cibernético dados de ensaios clínicos comprometidos

A Novo Nordisk, uma das maiores empresas farmacêuticas do mundo, confirmou ter sido alvo de um ataque cibernético que resultou na exposição de dados sensíveis de pacientes envolvidos em ensaios clínicos. A empresa informou que os dados comprometidos são pseudonimizados, o que significa que não incluem informações pessoais identificáveis, como nomes ou endereços, reduzindo o risco imediato de fraudes ou phishing. Os dados acessados incluem identificadores de pacientes, informações sobre participação em ensaios, dados biométricos e fatores de estilo de vida, como consumo de álcool e tabaco. Embora a empresa tenha tomado medidas para conter o ataque, incluindo a desativação de sistemas internos e a contratação de especialistas em cibersegurança para investigar o incidente, ela não revelou a identidade dos atacantes ou o número total de registros expostos. A Novo Nordisk assegurou que suas operações principais não foram afetadas e pediu aos pacientes que permaneçam vigilantes quanto a atividades suspeitas nas próximas semanas.

Samsung MAX VPN encerra atividades, usuários buscam alternativas

O Samsung MAX VPN, um aplicativo popular entre usuários de dispositivos Galaxy, encerrou suas atividades em 15 de junho de 2026, deixando mais de 50 milhões de usuários em busca de alternativas para proteger sua privacidade online. O aplicativo, que oferecia recursos de mascaramento de IP e compressão de dados, não será mais funcional, e os usuários que tentarem acessá-lo encontrarão uma mensagem de despedida. A Samsung ainda não anunciou um substituto nativo, o que aumenta a urgência para que os usuários encontrem uma solução de VPN confiável. A falta de proteção em redes Wi-Fi públicas pode expor informações sensíveis, como senhas e dados bancários, a hackers. O Google Play Store oferece diversas opções de VPNs de terceiros com protocolos de segurança robustos. É aconselhável que os usuários verifiquem as políticas de registro e as localizações dos servidores ao escolher um novo provedor de VPN, garantindo que seus dados de navegação permaneçam privados.

Gangue de extorsão ShinyHunters rouba dados de 137 mil funcionários escolares

A gangue de extorsão ShinyHunters realizou um ataque de roubo de dados que comprometeu informações pessoais de mais de 137 mil contas de funcionários escolares, utilizando uma vulnerabilidade no sistema de informações estudantis Infinite Campus, amplamente utilizado nos Estados Unidos. O ataque ocorreu em março e, embora a Infinite Campus não tenha atribuído o incidente a um grupo específico, descreveu o atacante como parte de uma organização conhecida por atacar contas do Salesforce. Os dados expostos incluem nomes, endereços de e-mail, números de telefone e endereços físicos, mas a empresa afirmou não ter evidências de que bancos de dados de clientes tenham sido comprometidos. A ShinyHunters reivindicou a responsabilidade pelo ataque e publicou um arquivo de 1,2 GB contendo registros do Salesforce com informações identificáveis. Este incidente é comparável ao ataque ao PowerSchool em dezembro de 2024, que afetou 62 milhões de estudantes, mas com um impacto menor. A ShinyHunters tem um histórico de ataques a clientes do Salesforce, alegando ter roubado mais de 1,5 bilhão de registros nos últimos anos. A situação destaca a importância da segurança cibernética em instituições educacionais e a necessidade de vigilância constante contra ameaças emergentes.

Vulnerabilidade crítica no Microsoft 365 Copilot pode expor dados sensíveis

Uma nova vulnerabilidade crítica, denominada SearchLeak, foi identificada no Microsoft 365 Copilot Enterprise, permitindo que atacantes roubem dados sensíveis de contas de e-mail, OneDrive ou SharePoint através de URLs manipuladas. A informação exfiltrada pode incluir conteúdos de e-mails, eventos de calendário, detalhes de reuniões e documentos acessíveis via Copilot. A vulnerabilidade foi corrigida pela Microsoft e recebeu o identificador CVE-2026-42824, com classificação de severidade máxima.

A cadeia de ataque desenvolvida pela empresa de segurança Varonis consiste em três etapas: a primeira envolve uma injeção de parâmetro que permite ao atacante criar um link que instrui o Copilot a buscar dados do usuário. Na segunda etapa, uma condição de corrida na renderização de HTML permite que o código malicioso execute antes da sanitização. Por fim, um problema de SSRF no Bing permite que a solicitação para buscar uma imagem seja feita, contornando as políticas de segurança.

Campanha de espionagem ligada à China ataca servidores REDCap nos EUA

Uma campanha de espionagem atribuída ao grupo UNC6508, vinculado à China, comprometeu servidores expostos da plataforma REDCap, utilizada em pesquisas médicas e científicas. Os pesquisadores do Google Threat Intelligence Group (GTIG) identificaram que a invasão ocorreu em setembro de 2023 e se estendeu por mais de um ano, com a implementação do malware InfiniteRed, que foi projetado especificamente para sistemas REDCap. Este malware possui três componentes principais: um módulo de persistência, um coletor de credenciais e uma porta dos fundos. O coletor captura nomes de usuário e senhas, armazenando-os em tabelas de banco de dados locais. Além disso, os atacantes utilizaram uma técnica inovadora para exfiltrar dados, criando uma regra de conformidade de conteúdo que enviava informações sensíveis por e-mail. O GTIG recomenda que administradores do REDCap atualizem suas versões e implementem autenticação multifator (MFA) para proteger contas de alto privilégio. O incidente destaca a necessidade de vigilância constante e atualização de sistemas para evitar compromissos semelhantes.

A crise de visibilidade na segurança com a ascensão da IA

Líderes de segurança de empresas como Datadog, Jamf e ASOS discutem a crescente crise de visibilidade que surge com a democratização da programação por meio da inteligência artificial (IA). Durante um evento virtual, eles abordaram como a capacidade de escrever código se espalhou entre os funcionários, criando um cenário de ‘código selvagem’ que pode comprometer a segurança das organizações. Um relatório da RedAccess revelou que existem 380 mil ativos acessíveis publicamente, com 5 mil contendo informações corporativas sensíveis, muitos dos quais foram criados sem revisão de segurança. A situação é exacerbada pela falta de governança adequada, já que muitos funcionários, motivados por boas intenções, criam automações sem supervisão. Os líderes de segurança enfatizam a importância de classificar dados corretamente e de adotar uma abordagem de habilitação, em vez de restrição, para evitar a proliferação de código não governado. Eles também destacam a necessidade de um registro de casos de uso para rastrear a responsabilidade e a importância de controles técnicos para prevenir comportamentos inesperados de agentes de IA. A discussão revela que, em vez de tentar impedir a criação de código, as organizações devem focar em monitorar e gerenciar o que já está sendo produzido.

FBI alerta sobre golpes de criptomoedas com coleta de dinheiro

O FBI dos EUA emitiu um alerta sobre criminosos que utilizam correios para coletar dinheiro de vítimas de fraudes relacionadas a investimentos em criptomoedas, conhecidas como ‘pig butchering’ ou ‘romance baiting’. Essas fraudes geralmente começam com os golpistas contatando suas vítimas por meio de redes sociais, sites de namoro e aplicativos de mensagens, criando um clima de confiança antes de atraí-las para esquemas de investimento falsos. Ao invés de investir, os golpistas desviam o dinheiro para contas sob seu controle. O alerta destaca que, após instituições financeiras legítimas bloquearem transferências suspeitas, os golpistas orientam as vítimas a realizar retiradas em dinheiro pessoalmente, utilizando correios que se identificam por senhas ou números de série de notas. Após a coleta, as vítimas veem um aumento simulado em seus saldos virtuais e são pressionadas a pagar taxas fraudulentas. O FBI recomenda que as pessoas pesquisem plataformas de criptomoedas antes de investir, evitem compartilhar endereços residenciais e denunciem imediatamente qualquer atividade suspeita. Em 2022, os crimes cibernéticos resultaram em perdas de quase 21 bilhões de dólares nos EUA, com fraudes de investimento representando 49% dos incidentes.

Ataque a plugins do WordPress compromete mais de 1,2 milhão de sites

Um ataque cibernético recente comprometeu arquivos JavaScript de plugins populares do WordPress, incluindo PushEngage, OptinMonster e TrustPulse, permitindo que um invasor criasse uma conta de administrador sob seu controle. O ataque ocorreu quando um administrador do site estava logado e carregou o código malicioso, que não afetou visitantes comuns. A empresa Awesome Motive, responsável pelos plugins, ainda não se manifestou sobre a situação. A empresa de segurança Sansec revelou que o código malicioso foi detectado em todos os três plugins, com PushEngage sendo o mais afetado, com uma janela de exposição que durou várias horas. O invasor utilizou uma chave de API do CDN para modificar os arquivos entregues aos sites, o que levanta preocupações sobre a segurança de sistemas de terceiros. Os sites afetados devem ser considerados comprometidos, e recomenda-se uma verificação completa do servidor para detectar possíveis backdoors. A situação é crítica, pois o ataque pode ter consequências sérias para a segurança e a privacidade dos dados dos usuários.

Rede de extensões do Chrome distribui programa indesejado

Pesquisadores de cibersegurança identificaram uma rede de 152 extensões do Google Chrome que atuam como complementos de papel de parede para novas abas, com o objetivo de distribuir uma família de programas potencialmente indesejados (PUPs). Essas extensões, que foram instaladas mais de 105 mil vezes, estão associadas a 38 contas diferentes na Chrome Web Store e três domínios principais: tabplugins.com, yowgames.com e chromewallpaper.com. Apesar de declararem que não coletam dados dos usuários, as políticas de privacidade vinculadas afirmam o contrário, registrando endereços IP, contagens de cliques e compartilhando essas informações com parceiros de publicidade. Além disso, um subgrupo de extensões utiliza URLs codificadas em arquivos JavaScript para simular atividades de busca orgânica no Google, criando um tráfego falso que pode enganar sistemas de monitoramento. Essa operação é considerada uma fraude comercial motivada financeiramente, embora a origem exata ainda não tenha sido determinada, com indícios sugerindo que pode ter vindo da Turquia.

Segurança de Senhas no Processo de Integração de Funcionários

O processo de integração de novos funcionários é um momento crítico para as equipes de TI, que precisam fornecer dispositivos, contas e senhas em um curto espaço de tempo. Muitas vezes, isso resulta no compartilhamento de senhas temporárias, que podem se tornar um ponto de vulnerabilidade se não forem geridas adequadamente. O envio de senhas por e-mail ou SMS, por exemplo, aumenta o risco de interceptação por atacantes. Alternativas como a comunicação verbal também apresentam desafios operacionais, pois envolvem a coordenação entre várias partes. Para mitigar esses riscos, soluções como o Specops First Day Password permitem que os novos funcionários criem suas próprias senhas de forma segura, eliminando a necessidade de senhas temporárias. Além disso, a permanência de senhas temporárias sem alteração pode levar a incidentes graves, como demonstrado por ataques a infraestruturas críticas, onde credenciais padrão foram exploradas. A segurança das senhas é essencial, pois mesmo com a crescente adoção de autenticação sem senha, elas ainda são fundamentais na gestão de acesso. Portanto, é crucial que as organizações adotem métodos seguros para gerenciar credenciais desde o primeiro acesso do usuário.

Vulnerabilidades e Ameaças em Cibersegurança Recapitulando a Semana

Nesta semana, o cenário de cibersegurança foi marcado por diversas vulnerabilidades críticas e incidentes de exploração ativa. O Google lançou atualizações de segurança para corrigir 74 falhas, incluindo uma vulnerabilidade de alta severidade no Chrome (CVE-2026-11645), que está sendo ativamente explorada. A falha permite acesso não autorizado à memória, com um CVSS de 8.8. Além disso, o grupo ShinyHunters explorou uma falha crítica no Oracle PeopleSoft (CVE-2026-35273), que permite que atacantes não autenticados assumam o controle do sistema, afetando principalmente instituições de ensino superior. Outra preocupação é a campanha ‘Atomic Arch’, que comprometeu mais de 1.500 pacotes do Arch Linux, introduzindo um malware que pode roubar credenciais. O FBI também desmantelou um serviço de phishing como serviço (PhaaS) que causou perdas de aproximadamente $1,9 bilhões. Por fim, uma vulnerabilidade crítica no VPN da Check Point (CVE-2026-50751) foi identificada, permitindo que atacantes contornem a autenticação. Essas ameaças destacam a necessidade urgente de atualizações e monitoramento contínuo em ambientes corporativos.

Vulnerabilidade do PAN-OS permite acesso não autorizado a VPNs

A Palo Alto Networks alertou sobre a exploração ativa de uma vulnerabilidade no PAN-OS, identificada como CVE-2026-0257, que possui uma pontuação CVSS de 7.8. Essa falha de autenticação permite que atacantes contornem controles de segurança e estabeleçam conexões VPN não autorizadas através dos portais GlobalProtect. A exploração foi observada em ataques limitados, com atividades iniciais registradas em 17 de maio de 2026. Até o momento, não se identificou comportamento pós-acesso ou movimentação lateral, e apenas uma pequena fração dos dispositivos sondados conseguiu estabelecer sessões VPN. A Palo Alto Networks disponibilizou indicadores de comprometimento (IoCs) e recomenda que os clientes verifiquem os logs do GlobalProtect em busca de eventos de conexão bem-sucedidos que correspondam a configurações específicas de cliente. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, exigindo que agências federais mitigassem a falha até 1º de junho de 2026.

Fraudes online na MENA contas falsas no Facebook enganam usuários

Pesquisadores de cibersegurança revelaram atividades fraudulentas direcionadas a usuários no Oriente Médio e Norte da África, utilizando contas falsas no Facebook que se passavam por políticos e organizações confiáveis. Essas contas promoviam ofertas enganosas, como pacotes de internet móvel gratuitos e compensações financeiras, levando as vítimas a clicar em links que redirecionavam para uma infraestrutura de phishing. A análise da Group-IB identificou que essas campanhas estavam ligadas à plataforma Sniper Dz, um serviço de phishing como serviço (PhaaS) que foi desmantelado recentemente. Os ataques utilizavam engenharia social, fazendo com que os usuários acreditassem que estavam acessando ofertas legítimas, mas, na verdade, eram direcionados a páginas que solicitavam permissões de notificações do navegador, permitindo que os atacantes enviassem mensagens indesejadas. Além disso, técnicas como manipulação do histórico do navegador e redirecionamentos em abas foram empregadas para manter as vítimas presas na rede de fraudes. A campanha destaca a crescente dependência de tecnologias web legítimas para operações fraudulentas, em vez de malware tradicional.

Nossos celulares se tornaram os maiores espiões do planeta

O artigo destaca a afirmação de John McAfee, pioneiro em cibersegurança, sobre como os smartphones se tornaram ferramentas de vigilância. Em uma palestra na DEF CON 22, McAfee abordou a privacidade e os perigos das aplicações móveis, enfatizando o aumento da vigilância e a coleta de dados por grandes empresas de tecnologia. Ele fez essas declarações em um contexto de crescente preocupação com a privacidade, especialmente após as revelações de Edward Snowden sobre a vigilância em massa. McAfee, que fundou a McAfee Associates, também lançou um dispositivo chamado Privacy Phone, projetado para oferecer segurança em nível de hardware. O artigo menciona que, apesar de regulamentações como o GDPR e a CCPA, muitos usuários ainda aceitam a coleta de dados sem questionar, evidenciando uma mudança na percepção sobre privacidade nos últimos anos. A ascensão da inteligência artificial e o uso de dados pessoais para treinamento de algoritmos também são discutidos como novos desafios para a privacidade do usuário.

FBI desmantela operação de phishing em larga escala da China

O FBI, em colaboração com o Google e o Black Lotus Labs, desmantelou uma operação de phishing chamada Outsider Enterprise, que utilizava milhares de sites falsos para roubar dados de cartões de crédito e senhas. A operação, que estava ativa desde pelo menos 2023, utilizava inteligência artificial e kits de phishing distribuídos para se passar por marcas confiáveis em mensagens enviadas por operadoras como AT&T, T-Mobile e Verizon. Estima-se que as campanhas de phishing tenham resultado no roubo de mais de 3,8 milhões de registros de cartões de crédito, causando perdas de aproximadamente 1,9 bilhão de dólares. Durante a ação, o FBI apreendeu servidores de administração, uma loja de e-commerce no Shopify e uma conta usada para testar o serviço de phishing. Além disso, foram confiscados cerca de 100 mil USDT de carteiras de pagamento da operação. O Google também processou civilmente a infraestrutura da operação e está colaborando com as operadoras para bloquear mensagens fraudulentas. A empresa destaca que os usuários do Android estão protegidos por defesas baseadas em IA, que detectam e bloqueiam mensagens maliciosas. Essa ação é parte da Operação Riptide do FBI, que visa combater atividades cibernéticas criminosas.

Ex-funcionário de escola nos EUA é condenado por ciberataques

Ezekiel Dean Potter, um ex-especialista em TI do distrito escolar Saydel, em Iowa, foi condenado a 21 meses de prisão por realizar uma série de ciberataques que causaram sérios danos à instituição. Após sua demissão, Potter manteve acesso não autorizado aos sistemas da escola e, ao longo de 21 meses, deletou contas de funcionários, desativou plataformas educacionais e comprometeu a operação das aulas. Os ataques começaram logo após sua saída, com a exclusão da página do Facebook da escola e se estenderam a contas de gerenciamento de dispositivos Apple, dificultando o acesso dos funcionários. Além disso, ele acessou o sistema de gerenciamento de aprendizagem Schoology, impactando as aulas por cerca de duas horas. O custo total dos danos foi estimado em dezenas de milhares de dólares. Potter foi condenado a pagar quase 60 mil dólares em restituição e terá sua liberdade supervisionada após a prisão, com restrições em relação ao uso de tecnologia. Este caso destaca a importância da segurança cibernética em instituições educacionais e a necessidade de monitoramento rigoroso de acessos a sistemas críticos.

Hackers chineses mantêm controle por 10 anos em rede crítica

Um grupo de hackers chineses conhecido como Velvet Ant comprometeu a infraestrutura crítica de uma grande organização, mantendo acesso por uma década. A operação, chamada de ‘Operation Highland’, começou em 2016, quando os atacantes exploraram sistemas vulneráveis expostos à internet antes de se infiltrar em uma rede isolada, sem conexão direta com a internet. A intrusão foi caracterizada pela instalação de um shell reverso modificado e um proxy SOCKS5, permitindo que os hackers se conectassem a sistemas internos. Além disso, eles substituíram módulos de autenticação do Linux por versões maliciosas, coletando credenciais de usuários e monitorando atividades administrativas. A complexidade da limpeza da rede comprometida foi elevada, pois a remoção dos componentes alterados poderia causar interrupções operacionais. Especialistas recomendam que as organizações tratem componentes de autenticação como ativos críticos e implementem medidas de segurança robustas, como autenticação multifatorial e monitoramento contínuo. A operação destaca a necessidade de vigilância constante e a importância de um plano de recuperação offline para mitigar riscos futuros.

Após possível jailbreak, Anthropic suspende acesso a modelos de IA

A Anthropic anunciou a suspensão do acesso aos seus modelos de inteligência artificial Mythos 5 e Fable 5, em resposta a uma ordem de segurança nacional do governo dos Estados Unidos. A decisão foi tomada após preocupações sobre um ‘potencial jailbreak’, que, segundo a empresa, é considerado ’estreito’ e ’não universal’. A ordem, emitida pela Casa Branca, proíbe o acesso a esses modelos por qualquer nacional estrangeiro, incluindo funcionários da Anthropic, o que levou à suspensão geral do acesso. A empresa está trabalhando para restaurar o acesso o mais rápido possível, afirmando que a situação é um mal-entendido. O modelo Fable 5, que foi lançado recentemente, prometia avanços significativos em codificação e raciocínio, e passou por um rigoroso processo de validação antes de sua liberação. Apesar das salvaguardas implementadas, a Anthropic reconhece que estas não foram suficientes para atender às exigências atuais do governo. A situação gerou descontentamento entre os usuários, que expressaram suas frustrações nas redes sociais, considerando a suspensão uma ‘situação de pesadelo’.

Anthropic suspende acesso a modelos de IA após diretiva do governo dos EUA

A Anthropic, empresa de inteligência artificial, suspendeu o acesso a seus modelos Fable 5 e Mythos 5 após uma diretiva do governo dos EUA que proíbe o acesso a estrangeiros, tanto dentro quanto fora do país. A ordem, recebida em 12 de junho, é justificada por questões de segurança nacional e afeta até mesmo funcionários estrangeiros da empresa. O Fable 5, que foi disponibilizado gratuitamente para clientes Pro, Max e Enterprise até 22 de junho, agora está offline para todos os usuários. O modelo Fable 5 é uma versão protegida do Mythos 5, que é acessível apenas a parceiros de defesa cibernética e ciências da vida. A Anthropic afirma que a decisão foi tomada em resposta a uma suposta vulnerabilidade que poderia permitir o ‘jailbreak’ do modelo, embora a empresa discorde da gravidade da situação. A empresa está trabalhando para restaurar o acesso e promete mais informações em breve. Essa situação levanta questões sobre a soberania tecnológica e o impacto das regulamentações governamentais sobre inovações em IA.

Anthropic desativa modelos de IA após ordem do governo dos EUA

A Anthropic anunciou a desativação abrupta de seus modelos de inteligência artificial mais avançados, Claude Fable 5 e Mythos 5, após uma ordem do governo dos EUA que suspendeu o acesso a esses modelos para cidadãos estrangeiros, citando preocupações de segurança nacional. A empresa acredita que houve um ‘mal-entendido’ e está trabalhando para restaurar o acesso o mais rápido possível. A ordem foi recebida após a descoberta de uma técnica de ‘jailbreak’ que poderia explorar vulnerabilidades conhecidas, embora a Anthropic afirme que essas falhas são simples e que outros modelos disponíveis publicamente também podem identificá-las. O modelo Mythos 5, que possui capacidades de cibersegurança avançadas, permanece acessível a um grupo restrito de defensores cibernéticos. A empresa destacou que implementou medidas rigorosas para evitar o uso indevido de seus modelos, especialmente em tarefas relacionadas à cibersegurança. A situação levanta questões sobre a segurança de modelos de IA e a capacidade de contornar suas proteções, além de implicações para a conformidade com regulamentações como a LGPD no Brasil.

Maine desativa portal de notificações de vazamento de dados após fraudes

O estado do Maine, nos Estados Unidos, desativou temporariamente seu portal de notificações de vazamentos de dados após a publicação de divulgações fraudulentas. Relatos indicam que informações falsas foram enviadas ao portal, incluindo alegações de vazamentos de dados da plataforma Discord e do VRChat, que foram confirmadas como fraudulentas. O escritório do Procurador Geral do Maine reconheceu que houve abusos no sistema de relatórios, resultando na remoção das notificações falsas do banco de dados. A plataforma, que é utilizada por jornalistas e pesquisadores para monitorar incidentes de segurança, agora requer que o público entre em contato diretamente com o escritório para acessar cópias das divulgações. O incidente destaca a vulnerabilidade de sistemas automatizados de publicação de dados, que podem ser explorados para disseminar desinformação e prejudicar a reputação de empresas. A situação levanta preocupações sobre a integridade dos dados e a necessidade de revisões nos procedimentos de segurança para evitar abusos semelhantes no futuro.