Cibersegurança

O grupo de ransomware Genesis reivindicou ataques a nove empresas nos Estados Unidos, incluindo Healthy Living Market & Café e River City Eye Care, que já relataram vazamentos de dados. O ataque a Healthy Living, ocorrido em setembro de 2025, comprometeu informações sensíveis como nomes, números de Seguro Social, dados de depósitos diretos e registros médicos. Já o ataque a River City Eye Care expôs nomes, números de telefone, datas de nascimento e informações de identificação de alguns pacientes. Genesis afirma ter roubado 400 GB de dados da Healthy Living e 200 GB da River City Eye. Embora as empresas não tenham confirmado as alegações do grupo, a situação destaca a crescente ameaça de ransomware nos EUA, com 381 ataques confirmados em 2025 até agora, afetando mais de 15,2 milhões de registros. O valor médio do resgate exigido é de aproximadamente $984,600. A falta de ofertas de monitoramento de crédito ou proteção contra roubo de identidade para as vítimas é uma preocupação adicional. O aumento de ataques de ransomware, especialmente em setores críticos como saúde e alimentação, levanta questões sobre a segurança cibernética e a proteção de dados pessoais.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing chamada PhantomCaptcha, que visa organizações envolvidas em esforços de ajuda à Ucrânia. O ataque, ocorrido em 8 de outubro de 2025, afetou membros da Cruz Vermelha Internacional, do Conselho Norueguês para Refugiados, da UNICEF e administrações regionais ucranianas. Os e-mails de phishing se disfarçaram como comunicações do Escritório do Presidente da Ucrânia, contendo um PDF malicioso que redirecionava as vítimas para um site falso do Zoom. Ao clicar, os usuários eram induzidos a executar um comando PowerShell malicioso através de uma página falsa de verificação de navegador. O malware resultante, um trojan de acesso remoto (RAT) baseado em WebSocket, permite a execução de comandos remotos e exfiltração de dados. A infraestrutura do ataque foi registrada em março de 2025, demonstrando planejamento sofisticado. Embora não tenha sido atribuído a um grupo específico, a técnica utilizada tem semelhanças com ataques de grupos de hackers associados à Rússia. A campanha destaca a necessidade de vigilância contínua e medidas de segurança robustas para organizações que operam em contextos de crise.

O grupo de ciberespionagem iraniano MuddyWater está por trás de uma nova campanha que utiliza uma conta de e-mail comprometida para distribuir um backdoor chamado Phoenix. Este ataque visa mais de 100 entidades governamentais na região do Oriente Médio e Norte da África (MENA), com foco em embaixadas, ministérios de Relações Exteriores e organizações internacionais. A campanha se destaca pelo uso de e-mails de phishing que parecem autênticos, aumentando a probabilidade de que os destinatários abram anexos maliciosos. Os pesquisadores de segurança da Group-IB relataram que o ataque envolve documentos do Microsoft Word que, ao serem abertos, solicitam que os usuários ativem macros, permitindo a execução de código VBA malicioso que instala o backdoor Phoenix. Este backdoor é carregado por um loader chamado FakeUpdate, que contém um payload criptografado. MuddyWater, que opera desde 2017 e está associado ao Ministério da Inteligência e Segurança do Irã, demonstrou uma capacidade aprimorada de integrar código personalizado com ferramentas comerciais para aumentar a furtividade e a persistência do ataque. A campanha representa um risco significativo para a segurança cibernética, especialmente para organizações governamentais e diplomáticas na região.

Um relatório da Microsoft revelou que, entre janeiro e julho de 2025, mais de 200 casos de hackers estrangeiros utilizaram inteligência artificial (IA) para criar e disseminar conteúdo falso e realizar ataques diretos a governos. Este número representa um aumento significativo em relação aos anos anteriores, com mais do que o dobro de casos registrados em 2024 e mais de dez vezes em comparação a 2023. Os cibercriminosos estão utilizando IA para automatizar ataques, como a tradução de e-mails de phishing, tornando-os mais convincentes e difíceis de identificar. Além disso, a criação de clones digitais de altos funcionários governamentais tem sofisticado as táticas de engenharia social, visando a obtenção de dados confidenciais e a desestabilização de serviços essenciais. A vice-presidente de Segurança e Confiança do Cliente da Microsoft, Amy Hogan-Buney, destacou que os EUA são o país mais visado, seguido por Israel e Ucrânia. Apesar das evidências, países como Rússia e China negam envolvimento em operações cibernéticas de espionagem. A Coreia do Norte, por sua vez, tem utilizado IA para criar identidades falsas, permitindo acesso a segredos comerciais e a instalação de malwares em empresas de tecnologia.

Uma investigação realizada pelo Varonis Threat Labs revelou uma vulnerabilidade crítica que permitiu a hackers criar aplicativos maliciosos no Azure utilizando nomes reservados da Microsoft. Ao contornar as salvaguardas, os atacantes conseguiram registrar nomes enganosos, como ‘Azure Portal’, induzindo os usuários a conceder permissões perigosas. Essa falha possibilitou que cibercriminosos obtivessem acesso inicial, mantivessem persistência e escalassem privilégios em ambientes Microsoft 365, expondo organizações a riscos de perda de dados e danos à reputação.

A Microsoft Threat Intelligence emitiu um alerta urgente sobre o aumento de atividades maliciosas direcionadas ao Azure Blob Storage. Essas campanhas exploram configurações inadequadas, assinaturas de acesso compartilhado (SAS) excessivamente permissivas e credenciais comprometidas para infiltrar, persistir e exfiltrar dados sensíveis de empresas armazenados em repositórios na nuvem. O Azure Blob Storage, que suporta operações críticas como inteligência artificial e análises, tornou-se um alvo atraente devido à sua capacidade de gerenciar grandes volumes de dados não estruturados.

Pesquisadores da CyberProof identificaram um aumento significativo nas infecções pelo Trojan de Acesso Remoto (RAT) Remcos entre setembro e outubro de 2025. Essa campanha de malware, que se espalha principalmente por meio de anexos de e-mail e engenharia social, representou cerca de 11% de todos os incidentes de roubo de informações no trimestre. Embora seja comercializado como uma ferramenta legítima de administração remota, o Remcos é frequentemente utilizado por cibercriminosos para roubo de credenciais e operações de persistência. Em um ataque recente, os alvos receberam e-mails de phishing com um arquivo compactado que, ao ser extraído, executou um script PowerShell ofuscado. Este script estabeleceu conexões web seguras e baixou um payload codificado, que foi executado diretamente na memória, confirmando a técnica de execução fileless. A injeção de código malicioso ocorreu em um processo legítimo, o RmClient.exe, dificultando a detecção por sistemas de defesa como EDRs. A análise revelou que os atacantes estavam focados em roubar credenciais armazenadas em navegadores, levando a alertas parciais de EDR. A campanha destaca a necessidade de as organizações reforçarem suas camadas de detecção e vigilância contra iscas de phishing direcionadas.

Pesquisadores de cibersegurança identificaram um novo ataque à cadeia de suprimentos que visa o gerenciador de pacotes NuGet, utilizando typosquats maliciosos da plataforma Nethereum, que integra o Ethereum com .NET. O pacote malicioso, denominado Netherеum.All, foi projetado para decodificar um ponto de controle e comando (C2) e exfiltrar frases mnemônicas, chaves privadas e dados de armazenamento de carteiras. O pacote foi carregado por um usuário chamado ’nethereumgroup’ em 16 de outubro de 2025 e removido quatro dias depois por violar os termos de uso do NuGet. O ataque se destaca pelo uso de um homoglyph cirílico que substitui a letra ’e’, enganando desenvolvedores desavisados. Além disso, os atacantes inflaram artificialmente as contagens de download, alegando 11,7 milhões de downloads, o que é um sinal de alerta, já que é improvável que uma nova biblioteca alcance tal número rapidamente. A principal funcionalidade maliciosa está em uma função chamada EIP70221TransactionService.Shuffle, que extrai dados sensíveis da carteira do usuário. Este incidente ressalta a vulnerabilidade do NuGet, que não impõe restrições rigorosas sobre esquemas de nomenclatura, ao contrário de outros repositórios de código aberto. Para mitigar riscos, os usuários devem verificar cuidadosamente as bibliotecas antes de baixá-las e monitorar o tráfego de rede anômalo.

Recentemente, grupos de ameaças ligados à China exploraram a vulnerabilidade ToolShell no Microsoft SharePoint para invadir uma empresa de telecomunicações no Oriente Médio, após a falha ter sido divulgada e corrigida em julho de 2025. Além da telecomunicação, alvos incluíram departamentos governamentais em um país africano, agências governamentais na América do Sul, uma universidade nos EUA e uma empresa de finanças na Europa. A vulnerabilidade CVE-2025-53770 permitiu a execução remota de código e foi utilizada por diversos grupos, como Linen Typhoon e Violet Typhoon, além do Salt Typhoon, que implementaram ferramentas como Zingdoor e ShadowPad. Os ataques também envolveram a exploração de servidores SQL e Apache, utilizando técnicas de side-loading de DLLs. A análise da Symantec indica que os atacantes estavam interessados em roubar credenciais e estabelecer acesso persistente às redes das vítimas, sugerindo um objetivo de espionagem. A situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos semelhantes.

Com a aceleração da transformação digital, o tráfego de bots representa mais da metade do tráfego na internet, com bots maliciosos sendo responsáveis pela maioria das ameaças. Esses ataques automatizados se tornaram uma das maiores ameaças para empresas online, pois os bots evoluíram para imitar o comportamento humano e se adaptar a medidas de segurança. As defesas tradicionais, como firewalls de aplicações web (WAFs) e detecções baseadas em JavaScript, são reativas e dependem de padrões conhecidos, tornando-se ineficazes contra bots modernos que mudam rapidamente. Além disso, as defesas do lado do cliente introduzem riscos adicionais, pois o código pode ser manipulado por atacantes. O artigo destaca que a detecção do lado do servidor, que analisa o comportamento e a intenção do tráfego, é a única estratégia eficaz para enfrentar essas novas ameaças. Essa abordagem permite que as empresas detectem bots que se disfarçam como usuários legítimos, aumentando a eficácia da segurança em até 33 vezes. A evolução dos bots exige uma defesa igualmente inteligente, pois os danos vão além das perdas financeiras, afetando a integridade dos dados e a competitividade das empresas.

A disputa entre provedores de VPN ganhou um novo capítulo quando a Windscribe, conhecida por seu serviço de VPN gratuito, afirmou que sua solução é mais rápida que a NordVPN, uma das líderes do setor. Em um post nas redes sociais, a Windscribe compartilhou um teste de velocidade que mostrava sua VPN gratuita superando a NordVPN em termos de velocidade de download. O teste foi realizado em um servidor da Surfshark, outro competidor de peso no mercado. Embora a postagem tenha gerado burburinho, especialistas alertam que um único teste de velocidade não é conclusivo. A velocidade de uma VPN pode ser influenciada por diversos fatores, como a localização do servidor, a carga de usuários, a hora do dia e o protocolo utilizado. Portanto, sem detalhes adicionais sobre as condições do teste, é difícil validar a alegação de forma científica. A Windscribe se posiciona como uma opção robusta no mercado de VPNs gratuitas, oferecendo 10GB de dados mensais e acesso a servidores em mais de 10 países. Em contraste, a NordVPN é vista como uma opção premium, com uma vasta rede de servidores e recursos avançados de segurança. Apesar do tom humorístico da provocação, os usuários devem considerar uma variedade de fatores antes de escolher um serviço de VPN, incluindo análises detalhadas e garantias de devolução de dinheiro.

O primeiro dia do Pwn2Own Ireland 2025 foi marcado por um sucesso notável, com pesquisadores de segurança demonstrando 34 vulnerabilidades zero-day em dispositivos de consumo, totalizando ganhos de $522.500. A competição, que visa identificar falhas de segurança em produtos reais, teve uma taxa de sucesso de 100%, sem tentativas falhas. As equipes focaram em dispositivos como impressoras, dispositivos de casa inteligente e sistemas de armazenamento conectados à rede. A equipe DDOS se destacou ao explorar oito vulnerabilidades em um roteador e um dispositivo de armazenamento QNAP, arrecadando $100.000. Outras equipes também conseguiram explorar dispositivos populares, como o Philips Hue Bridge e impressoras da Canon e HP. As metodologias de ataque incluíram estouros de buffer, injeções de comando e bypass de autenticação. Com mais dois dias de competição pela frente, espera-se que o total de prêmios aumente significativamente. As vulnerabilidades descobertas serão divulgadas de forma responsável aos fabricantes para correção, melhorando a segurança de milhões de usuários de dispositivos de consumo em todo o mundo.

Em meados de outubro de 2025, o site oficial do Xubuntu foi comprometido por atacantes que alteraram os links de download de torrents. Em vez de fornecer os arquivos .torrent legítimos, os visitantes foram direcionados para um arquivo ZIP malicioso intitulado ‘Xubuntu-Safe-Download.zip’. Dentro deste arquivo, encontrava-se um executável do Windows, ‘TestCompany.SafeDownloader.exe’, acompanhado de um arquivo ’tos.txt’ que continha uma falsa declaração de direitos autorais de 2026. O ataque, descoberto em 18 de outubro, destaca os riscos crescentes enfrentados por sites de distribuições Linux mantidos pela comunidade, especialmente com a migração de usuários do Windows 10, que chegou ao fim do suporte. O malware, projetado para roubar criptomoedas, foi identificado por membros das comunidades r/xubuntu e r/Ubuntu, que alertaram sobre a anomalia. Após a confirmação do ataque, os mantenedores do Xubuntu desativaram rapidamente a página comprometida e recomendaram que os usuários verificassem as somas de verificação dos arquivos ISO. Até o momento, não foram relatadas infecções confirmadas ou perdas de criptomoedas, mas o incidente serve como um lembrete da importância de práticas rigorosas de segurança em projetos de código aberto.

A Meta lançou um conjunto de novas ferramentas de segurança para o Messenger e WhatsApp, com o objetivo de proteger contas e ajudar especialmente os idosos a evitar fraudes comuns. Essas funcionalidades foram introduzidas durante o Mês de Conscientização sobre Cibersegurança e fazem parte de uma campanha global contra fraudes. Desde o início do ano, as equipes de segurança da Meta identificaram e interromperam quase 8 milhões de contas no Facebook e Instagram ligadas a centros de fraudes que visam pessoas em todo o mundo, incluindo idosos. Os novos recursos permitirão que os usuários relatem mensagens suspeitas com mais facilidade e bloqueiem automaticamente contas que apresentem comportamentos fraudulentos. Além disso, a Meta firmou parceria com o National Elder Fraud Coordination Center, uma organização sem fins lucrativos que reúne bancos, autoridades policiais e grupos de defesa para combater fraudes direcionadas a idosos. As fraudes mais comuns incluem serviços de reforma de casas falsos e serviços de recuperação de dinheiro que imitam sites oficiais, como o do FBI. O relatório de Crimes na Internet de 2024 do FBI revelou que americanos com 60 anos ou mais perderam cerca de 4,8 bilhões de dólares devido a fraudes no ano passado. As novas ferramentas e dicas visam tornar o Messenger e o WhatsApp mais seguros, especialmente para os idosos, que são mais vulneráveis a esses golpes.

Um novo malware baseado em Rust, chamado ChaosBot, foi descoberto utilizando a plataforma Discord para suas operações de Comando e Controle (C2). Diferente de botnets tradicionais, o ChaosBot oculta suas atividades maliciosas atrás do tráfego legítimo do Discord, criando canais de comunicação encobertos entre máquinas infectadas e atacantes. O malware valida seu acesso através da API do Discord, criando um canal privado que serve como um shell interativo, onde comandos como ‘shell’, ‘download’ e ‘scr’ (screenshot) podem ser executados. A infecção inicial ocorre por meio de credenciais comprometidas de VPN e Active Directory ou por e-mails de phishing disfarçados. O ChaosBot apresenta mecanismos avançados de evasão, como a desativação de rastreamento de eventos do Windows e a detecção de ambientes virtualizados, dificultando a identificação por ferramentas de segurança. A comunicação com a infraestrutura controlada pelos atacantes é realizada através de ferramentas legítimas, como o Fast Reverse Proxy (FRP) e o Visual Studio Code Tunnels, o que aumenta sua furtividade. Especialistas alertam que o uso de plataformas confiáveis para operações maliciosas representa uma tendência crescente entre famílias de malware em Rust, e recomendam que as organizações implementem autenticação multifator (MFA) e monitorem o tráfego da API do Discord.

A Kaspersky identificou uma nova campanha de ciberespionagem chamada PassiveNeuron, que visa organizações governamentais, financeiras e industriais na Ásia, África e América Latina. Os ataques foram inicialmente detectados em novembro de 2024, com foco em entidades governamentais na América Latina e na Ásia Oriental. Os invasores utilizam malwares sofisticados, como Neursite e NeuralExecutor, que permitem movimentação lateral na infraestrutura das vítimas e exfiltração de dados. A campanha se destaca pelo uso de servidores internos comprometidos como infraestrutura de comando e controle, dificultando a detecção. Os atacantes têm explorado vulnerabilidades em servidores Windows, possivelmente através de injeções SQL ou força bruta, para implantar backdoors e ferramentas como Cobalt Strike. Desde dezembro de 2024, novas infecções foram observadas, com indícios de que os autores sejam falantes de chinês. A Kaspersky alerta que a campanha é particularmente perigosa devido ao foco em servidores expostos à internet, que são alvos atrativos para ameaças persistentes avançadas (APTs).

Pesquisadores da Socket identificaram uma campanha de spamware que afeta usuários brasileiros do WhatsApp Web, envolvendo 131 extensões maliciosas do Google Chrome. Essas extensões, que compartilham o mesmo código-fonte e design, têm como objetivo contornar as restrições de envio de mensagens da plataforma, permitindo o envio em massa de spam. Com cerca de 20.905 usuários ativos, as extensões se disfarçam como ferramentas de automação para ajudar empresas a maximizar vendas. A campanha está em operação há pelo menos nove meses, com atualizações frequentes. A DBX Tecnologia, responsável pela extensão original, oferece um programa white-label que permite rebranding e revenda das extensões, prometendo lucros significativos. Essa prática viola as políticas da Chrome Web Store e levanta preocupações sobre a segurança e privacidade dos usuários, especialmente em relação à conformidade com a LGPD. Além disso, a Socket alerta que a DBX Tecnologia também promove vídeos que ensinam a burlar os algoritmos anti-spam do WhatsApp.

Pesquisadores da empresa de segurança cibernética Solo Iron, no Brasil, desmontaram uma campanha de malware conhecida como Maverick, que se espalha pelo WhatsApp Web. O vírus, que opera como um trojan, infecta computadores e rouba dados bancários. A investigação revelou que a operação dos hackers começou em 1º de outubro e utilizava técnicas de engenharia social para disseminar arquivos maliciosos disfarçados de documentos financeiros. O malware, que funciona na memória da máquina, evita a detecção por antivírus tradicionais ao não gravar arquivos em disco. A equipe da Solo Iron conseguiu acessar a infraestrutura dos cibercriminosos, revelando a escala da operação e os domínios envolvidos. O ataque é caracterizado por um alto nível de automação e permite que os criminosos monitorem a disseminação do trojan através de um painel administrativo. A análise detalhada do malware e suas implicações estão disponíveis no blog da Solo Iron.

Uma vulnerabilidade crítica de execução remota de código foi identificada na edição on-premise do LANSCOPE Endpoint Manager, permitindo que atacantes não autenticados executem comandos arbitrários com altos privilégios nos sistemas afetados. A falha, rastreada como CVE-2025-61932, afeta tanto o Programa Cliente (MR) quanto o Agente de Detecção (DA) nas versões 9.4.7.1 e anteriores. Pesquisadores de segurança descobriram que pacotes de rede especialmente elaborados podem acionar um erro severo no cliente MR e no agente DA, contornando todos os requisitos de interação do usuário, como cliques ou abertura de e-mails. Tentativas de exploração no mundo real já foram observadas, tornando a aplicação de patches urgente. A edição on-premise é a única afetada, enquanto a edição em nuvem permanece segura. Um patch já está disponível no portal de suporte oficial da LANSCOPE, e é crucial que todas as máquinas que executam a edição on-premise sejam atualizadas imediatamente para mitigar o risco de exploração.

O Apache Syncope revelou uma vulnerabilidade crítica, identificada como CVE-2025-57738, que permite que administradores autenticados executem código arbitrário em sistemas afetados. Essa falha afeta todas as versões do Apache Syncope 3.x anteriores à 3.0.14 e 4.x anteriores à 4.0.2, expondo as organizações a riscos significativos de comprometimento do sistema por meio da injeção de código Groovy malicioso.

A vulnerabilidade reside na implementação personalizada do Syncope, que permite que administradores estendam a funcionalidade central ao enviar código Java ou Groovy. Enquanto as extensões Java requerem arquivos JAR pré-compilados, os scripts Groovy podem ser enviados como código-fonte simples e compilados em tempo de execução, sem restrições de segurança. Isso significa que qualquer administrador com permissão para criar ou atualizar implementações Groovy pode injetar scripts que o servidor executa com privilégios totais.

Uma nova investigação da equipe de pesquisa de ameaças da Sekoia.io trouxe à tona a função do campo UserAuthenticationMethod nos logs de auditoria do Microsoft 365. Este campo, que antes era uma incógnita, é na verdade um bitfield que representa diferentes métodos de autenticação, permitindo uma análise mais clara dos eventos de login na plataforma. A pesquisa revelou que valores numéricos como 16, 272 ou 33554432 correspondem a métodos específicos de autenticação, como ‘Senha na Nuvem’ e ‘Login sem Senha’. Essa descoberta é crucial para analistas de segurança, pois permite monitorar a adoção de métodos de autenticação mais seguros e identificar fraquezas nas práticas de login. A equipe da Sekoia conseguiu mapear esses métodos ao correlacionar logs do Microsoft 365 com logs de login do Microsoft Entra ID, decifrando a lógica binária por trás dos valores. A decodificação do bitfield não só fecha uma lacuna significativa na visibilidade para os respondentes a incidentes, mas também destaca a evolução contínua das tecnologias de autenticação da Microsoft, com bits ainda não mapeados indicando futuras inovações. Essa pesquisa é um chamado para que os defensores contribuam com novas descobertas, fortalecendo o entendimento coletivo sobre a telemetria de autenticação do Microsoft 365.

O Luma Infostealer, um malware sofisticado, está ressurgindo como uma ameaça cibernética significativa, focando em credenciais de alto valor e ativos sensíveis em sistemas Windows. Distribuído através de um modelo de Malware-as-a-Service (MaaS), permite que até mesmo atacantes com pouca habilidade realizem campanhas complexas de roubo de dados. O malware é frequentemente disseminado em campanhas de phishing disfarçadas como softwares piratas, hospedados em plataformas legítimas como o MEGA Cloud, para evitar detecções. Ao ser executado, o Luma realiza uma decriptação em múltiplas etapas e injeção de processos para ativar seu payload, ocultando seu comportamento de soluções antivírus tradicionais.

A inteligência artificial (IA) tem um grande potencial para aprimorar a defesa cibernética, facilitando o trabalho dos profissionais de segurança. Ela pode ajudar a reduzir a fadiga de alertas, identificar padrões rapidamente e escalar operações de segurança de forma que os analistas humanos não conseguem. No entanto, a adoção de IA também amplia a superfície de ataque das organizações, exigindo governança clara, controles de identidade robustos e visibilidade nas decisões tomadas pela IA. Para garantir a segurança, é fundamental estabelecer confiança nos dados que a IA utiliza, responsabilidade pelas ações que executa e supervisão dos resultados que produz. O artigo destaca a importância de tratar sistemas de IA como identidades críticas dentro do gerenciamento de identidade e acesso (IAM), aplicando controles rigorosos como credenciais limitadas, autenticação forte e monitoramento contínuo. Além disso, sugere práticas recomendadas para proteger modelos de IA, incluindo controles de acesso, validação de dados e segurança na inferência. A integração responsável da IA nas operações de segurança pode permitir que as equipes trabalhem de maneira mais inteligente e eficaz, mas é essencial encontrar um equilíbrio entre automação e supervisão humana.

Pesquisadores em cibersegurança identificaram o malware PolarEdge, um botnet que visa roteadores de marcas como Cisco, ASUS, QNAP e Synology. Documentado pela primeira vez em fevereiro de 2025, o PolarEdge utiliza uma falha de segurança conhecida (CVE-2023-20118) para se infiltrar nos dispositivos, baixando um script shell que executa um backdoor. Este backdoor, implementado em ELF e baseado em TLS, monitora conexões de clientes e pode executar comandos recebidos de um servidor de comando e controle (C2). PolarEdge opera em dois modos: um modo de conexão reversa e um modo de depuração, permitindo modificações em sua configuração. Além disso, o malware emprega técnicas de anti-análise para ocultar suas operações e não garante persistência após reinicializações, embora utilize processos filhos para reativar-se. A descoberta do PolarEdge é relevante, especialmente considerando a crescente integração de dispositivos IoT e a vulnerabilidade de roteadores, que são alvos comuns de ataques. A situação é agravada pela possibilidade de que o malware tenha começado a operar desde junho de 2023, indicando um período prolongado de atividade maliciosa.

No dia 21 de outubro de 2025, a Meta anunciou novas ferramentas para proteger os usuários do Messenger e do WhatsApp contra possíveis fraudes. No WhatsApp, serão introduzidos avisos quando os usuários tentarem compartilhar a tela com contatos desconhecidos durante chamadas de vídeo, prevenindo a exposição de informações sensíveis, como dados bancários e códigos de verificação. No Messenger, uma nova configuração chamada ‘Detecção de Fraudes’ permitirá que os usuários recebam alertas sobre mensagens suspeitas de contatos desconhecidos. A detecção ocorre no dispositivo do usuário, garantindo que as conversas com criptografia de ponta a ponta permaneçam seguras. Caso uma mensagem seja identificada como potencialmente fraudulenta, os usuários poderão optar por enviar as mensagens para uma revisão por inteligência artificial, embora isso desative a criptografia. A Meta também relatou ter tomado medidas contra mais de 21 mil páginas e contas no Facebook que se passavam por suporte ao cliente, além de ter desativado cerca de 8 milhões de contas associadas a centros de fraudes. Esses esquemas, frequentemente relacionados a fraudes de investimento, manipulam emocionalmente as vítimas, levando-as a perder grandes quantias de dinheiro. A empresa continua a trabalhar para combater esses crimes, especialmente aqueles que visam populações vulneráveis, como os idosos.

Em outubro de 2025, pesquisadores da Kaspersky identificaram um ataque sofisticado à cadeia de suprimentos que visava o ecossistema npm, utilizando um pacote malicioso chamado https-proxy-utils. Este pacote se disfarçava como uma ferramenta de proxy legítima, mas tinha como objetivo entregar o AdaptixC2, um framework de pós-exploração que começou a ser observado em campanhas maliciosas desde a primavera de 2025. Os atacantes usaram uma técnica clássica de typosquatting, criando um nome de pacote que se assemelhava a pacotes npm populares e legítimos, como http-proxy-agent e https-proxy-agent, que recebem milhões de downloads semanalmente. O pacote malicioso incluía um script pós-instalação que baixava e executava automaticamente o agente AdaptixC2, adaptando-se a diferentes sistemas operacionais, como Windows, Linux e macOS. Uma vez instalado, o AdaptixC2 oferece aos atacantes acesso remoto, execução de comandos e gerenciamento de arquivos, permitindo que mantenham acesso contínuo a sistemas comprometidos. Este incidente destaca a crescente ameaça de ataques à cadeia de suprimentos em ecossistemas de software de código aberto, exigindo que organizações e desenvolvedores verifiquem cuidadosamente os nomes dos pacotes antes da instalação.

Entre maio e agosto de 2025, o grupo de ameaça persistente avançada (APT) conhecido como Cavalry Werewolf, também rastreado como YoroTrooper e Silent Lynx, conduziu uma campanha de ciberataques sofisticada, visando o setor público e a infraestrutura crítica da Rússia. As indústrias de energia, mineração e manufatura foram os principais alvos, com o uso de malwares personalizados, como FoalShell e StallionRAT, através de operações de spear-phishing altamente direcionadas, disfarçadas como correspondências oficiais do governo.

O malware GlassWorm representa uma nova ameaça no cenário de ataques à cadeia de suprimentos, sendo o primeiro worm a atacar extensões do VS Code no marketplace OpenVSX. Detectado inicialmente na ferramenta de produtividade CodeJoy, o malware utiliza caracteres especiais de Unicode que aparecem como espaços em branco, tornando o código invisível tanto para revisores humanos quanto para ferramentas de análise automática. Após a instalação, o GlassWorm coleta credenciais sensíveis, como tokens do NPM e credenciais do GitHub, além de escanear extensões de carteiras de criptomoedas para drenar fundos. O malware opera com uma infraestrutura de comando e controle descentralizada, utilizando a blockchain Solana para comunicação, o que torna sua remoção extremamente difícil. Além disso, ele emprega eventos do Google Calendar para garantir a persistência de sua operação. Com mais de 35 mil instalações detectadas, o GlassWorm exemplifica os riscos exponenciais que os worms modernos representam para desenvolvedores e usuários. A situação exige atenção redobrada das equipes de segurança, especialmente em um ambiente onde a revisão de código se mostrou insuficiente para detectar tais ameaças.

Um novo e sofisticado kit de ferramentas de ransomware, chamado Monolock, foi identificado em fóruns da dark web, gerando preocupação nas comunidades de cibersegurança. Este ransomware é projetado para campanhas de ataque rápidas e automatizadas, apresentando capacidades técnicas avançadas. O Monolock oferece um pacote completo para operações de ransomware, incluindo módulos para automação de comando e controle, escalonamento de privilégios e técnicas de evasão persistente. Além disso, possui ferramentas para deletar cópias de sombra em sistemas-alvo, dificultando estratégias comuns de recuperação de desastres. O kit também conta com recursos anti-análise que evitam a execução em ambientes de segurança. Os operadores do Monolock estão recrutando afiliados com experiência em implantação de malware, oferecendo um programa de afiliados que inclui taxas de registro e uma divisão de lucros. A emergência do Monolock se alinha com a tendência de ransomware como serviço (RaaS), permitindo que grupos criminosos menores tenham acesso a ferramentas avançadas. Especialistas em segurança recomendam que as organizações monitorem indicadores de comprometimento relacionados ao Monolock e mantenham backups offline para se protegerem contra essa nova ameaça.

Um grupo de ciberespionagem vinculado à China, conhecido como Salt Typhoon, atacou uma organização de telecomunicações na Europa na primeira semana de julho de 2025. Os invasores exploraram uma vulnerabilidade em um dispositivo Citrix NetScaler Gateway para obter acesso inicial. Salt Typhoon, ativo desde 2019, é conhecido por suas táticas de persistência e exfiltração de dados sensíveis em mais de 80 países, incluindo os EUA. Durante o ataque, os hackers utilizaram o Citrix Virtual Delivery Agent (VDA) para se mover lateralmente na rede da vítima, além de empregar o SoftEther VPN para ocultar suas origens. Um dos malwares utilizados foi o Snappybee, que se aproveita de uma técnica chamada DLL side-loading, onde arquivos DLL maliciosos são carregados junto a executáveis legítimos de software antivírus. A atividade maliciosa foi identificada e mitigada antes que pudesse causar danos maiores. A natureza furtiva e a capacidade de reutilizar ferramentas confiáveis tornam o Salt Typhoon um adversário desafiador para as defesas cibernéticas.

Pesquisadores de cibersegurança da Socket descobriram uma campanha sofisticada de spam que envolve 131 extensões do Chrome, direcionadas a usuários do WhatsApp. Essas extensões, que compartilham códigos e infraestrutura idênticos, afetam pelo menos 20.905 usuários ativos, violando as políticas do Chrome Web Store e do WhatsApp. A operação é conduzida pela DBX Tecnologia, uma empresa brasileira que licencia versões personalizadas das extensões para revendedores, prometendo margens de lucro significativas. Apesar da diversidade de marcas, todas as extensões foram publicadas por apenas duas contas de desenvolvedor. As extensões utilizam métodos técnicos avançados para injetar código malicioso na interface do WhatsApp Web, permitindo o envio automatizado de mensagens em massa, o que contraria as políticas de consentimento do WhatsApp. A Socket já solicitou a remoção das extensões e a suspensão das contas dos desenvolvedores. A empresa recomenda que organizações adotem ferramentas de proteção para extensões do Chrome e monitorem as permissões e atualizações das extensões em uso.

O Gabinete de Segurança Institucional (GSI) do Brasil anunciou um acordo com a Amazon para a hospedagem de dados governamentais, incluindo informações classificadas e sigilosas, na Amazon Web Services (AWS). A nova normativa, que substitui uma proibição anterior de 2021, permite que dados sejam armazenados em nuvens de empresas privadas, desde que os data centers estejam localizados no Brasil. Especialistas levantam preocupações sobre a segurança e a soberania dos dados, citando legislações americanas, como o Cloud Act, que podem exigir que empresas entreguem dados sob ordens judiciais, mesmo que estejam fora dos EUA. A AWS, por sua vez, afirma que os clientes têm controle total sobre seus dados e que não pode acessá-los sem autorização. A Agência Nacional de Proteção de Dados (ANPD) não participou da elaboração do acordo, mas poderá intervir para garantir a conformidade com a legislação brasileira. Além disso, um recente apagão nos servidores da AWS levantou questões sobre a confiabilidade do serviço, o que poderia afetar a segurança de informações sensíveis do governo brasileiro.

Um novo relatório do Cofense Phishing Defense Center revela que criminosos estão explorando a confiança que os usuários depositam na marca Microsoft para realizar fraudes. A campanha começa com um e-mail que simula uma comunicação legítima de uma empresa, como uma locadora de veículos, prometendo um reembolso. Ao clicar no link, o usuário é redirecionado para uma página falsa que imita um sistema de verificação CAPTCHA. Essa etapa visa enganar ferramentas de segurança automatizadas e criar uma sensação de autenticidade.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou cinco falhas de segurança ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), incluindo uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). A falha CVE-2025-61884, com uma pontuação CVSS de 7.5, é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) que permite acesso não autorizado a dados críticos sem necessidade de autenticação. Além disso, a CISA destacou a CVE-2025-61882, uma falha crítica com pontuação CVSS de 9.8, que permite a execução de código arbitrário por atacantes não autenticados. Ambas as vulnerabilidades estão sendo ativamente exploradas em ataques reais, afetando diversas organizações. Outras vulnerabilidades listadas incluem falhas em Microsoft Windows e Kentico Xperience CMS, que também apresentam riscos significativos. As agências federais dos EUA devem corrigir essas vulnerabilidades até 10 de novembro de 2025 para proteger suas redes contra ameaças ativas.

Recentemente, usuários de gerenciadores de senhas, como LastPass e Bitwarden, estão sendo alvo de uma nova campanha de phishing. Os golpistas enviam e-mails fraudulentos que se passam por atualizações de segurança dos aplicativos, mas na verdade, contêm um software malicioso que permite o acesso remoto aos dados da vítima. Embora as empresas tenham confirmado que não sofreram invasões, a engenharia social utilizada pelos hackers tem se tornado cada vez mais sofisticada, tornando as mensagens mais convincentes. Além disso, a Cloudflare, uma empresa de segurança cibernética, bloqueou alguns links maliciosos, ajudando a proteger os usuários. Para evitar cair nesse tipo de golpe, recomenda-se não abrir links de e-mails suspeitos e sempre verificar diretamente no site oficial do serviço. A desconfiança é fundamental para se proteger contra essas ameaças.

Pesquisadores da Universidade da Califórnia revelaram uma vulnerabilidade intrigante que transforma mouses ópticos em dispositivos de escuta. Denominada ‘Mic-E-Mouse’, essa prova de conceito demonstra que mouses podem captar vibrações sonoras mínimas da superfície onde estão posicionados. Utilizando softwares variados, incluindo programas sem privilégios e extensões de navegador, é possível converter essas vibrações em áudio compreensível. O processo é realizado através de técnicas avançadas de filtragem estatística e redes neurais, permitindo que palavras faladas sejam extraídas com clareza.

Uma pesquisa realizada pelo Reclame AQUI revelou que 63% dos consumidores brasileiros não conseguem identificar golpes digitais que utilizam inteligência artificial (IA), uma vulnerabilidade preocupante especialmente com a aproximação da Black Friday. O estudo, que ouviu mais de 3.300 pessoas, destaca que 79% dos entrevistados planejam comprar online durante a Black Friday, mas apenas 43% verificam links e ofertas com ferramentas de segurança. A pesquisa também aponta que 20% dos consumidores já foram vítimas de fraudes em edições anteriores do evento. O uso crescente de IA por cibercriminosos para criar campanhas de phishing mais sofisticadas torna essencial que os consumidores estejam informados e preparados. O relatório, intitulado “Black Friday na era da Inteligência Artificial”, serve como um guia tanto para consumidores quanto para marcas, enfatizando a importância da segurança nas compras online.

Na madrugada de 20 de outubro de 2025, a Amazon Web Services (AWS) sofreu uma queda massiva que afetou a infraestrutura digital global. O problema começou por volta de 12h11 PDT, com falhas no serviço de banco de dados DynamoDB, que rapidamente se espalharam para outros serviços essenciais como EC2 e S3. Isso resultou em interrupções em plataformas populares como Snapchat, Amazon Prime Video e Canva, deixando milhões de usuários sem acesso a seus aplicativos e serviços. A AWS, que detém cerca de um terço do mercado global de nuvem, enfrentou críticas sobre a fragilidade da centralização de sua infraestrutura. Embora a empresa tenha declarado que o problema foi resolvido ao meio-dia, o impacto da queda ainda era sentido, com usuários relatando lentidão em serviços e gerando discussões sobre a necessidade de diversificação entre provedores de nuvem. A falha foi atribuída a um problema de resolução de DNS, que cortou a conexão entre os clientes e os gateways da AWS, evidenciando a vulnerabilidade de depender de um único provedor para operações críticas. O incidente levantou preocupações sobre a segurança e a resiliência das infraestruturas digitais, especialmente em setores críticos como saúde e finanças.

Pesquisadores de cibersegurança descobriram uma campanha coordenada que utiliza 131 extensões clonadas do WhatsApp Web para Google Chrome, visando usuários brasileiros. Essas extensões, que compartilham o mesmo código e design, têm cerca de 20.905 usuários ativos e funcionam como spamware, automatizando o envio de mensagens em massa para contornar as regras de anti-spam do WhatsApp. A campanha está em andamento há pelo menos nove meses, com atualizações recentes observadas em outubro de 2025. As extensões, que se apresentam como ferramentas de gerenciamento de relacionamento com clientes (CRM), são publicadas principalmente por uma entidade chamada ‘WL Extensão’. A prática viola as políticas do Chrome Web Store, que proíbem a submissão de múltiplas extensões com funcionalidades duplicadas. Além disso, a empresa DBX Tecnologia, responsável pela extensão original, promove um programa de revenda que permite a rebranding das extensões, incentivando a proliferação de clones. Essa situação levanta preocupações sobre a segurança e a privacidade dos usuários, especialmente em um contexto onde o WhatsApp é amplamente utilizado no Brasil.

Os ataques ClickFix, que envolvem a interação do usuário com scripts maliciosos no navegador, estão se tornando uma fonte crescente de violações de segurança. Esses ataques geralmente solicitam que os usuários resolvam um problema, como um CAPTCHA, mas na verdade induzem a execução de comandos maliciosos ao copiar código da página para o dispositivo do usuário. Grupos de ransomware, como o Interlock, têm utilizado essas táticas, que já estão ligadas a várias violações de dados em instituições como Kettering Health e Texas Tech University.

Recentes incidentes de cibersegurança revelam que brechas silenciosas estão se tornando comuns, com atacantes permanecendo nas redes por longos períodos sem serem detectados. Um dos casos mais alarmantes envolve a F5, que anunciou a violação de seus sistemas por atores desconhecidos, resultando no roubo de códigos fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas. Acredita-se que os atacantes, associados a um grupo de espionagem da China, estavam ativos na rede da F5 por pelo menos 12 meses.

A NordVPN realizou uma ação impactante em Times Square, onde três hackers éticos interagiram com o público para desmistificar a segurança online. A campanha surgiu após uma pesquisa alarmante que revelou que 73% dos americanos acreditam que seus softwares antivírus os protegem de roubo de identidade e garantem privacidade online. No entanto, os especialistas destacaram que o papel principal dos antivírus é proteger dispositivos contra malware, e não garantir segurança total na internet. Durante a ação, os hackers mostraram aos participantes como seus dados pessoais, como senhas e endereços, estavam expostos online, gerando surpresa e choque. A NordVPN enfatizou que, embora uma VPN não seja uma solução mágica, é uma ferramenta essencial para minimizar a pegada digital e aumentar a segurança, especialmente ao usar redes Wi-Fi públicas. A empresa também disponibiliza um monitor de dark web para ajudar os usuários a verificar se seus dados estão expostos. A campanha visa alertar sobre a falsa sensação de segurança que muitos têm em relação à proteção online.

No último domingo, a China acusou a Agência de Segurança Nacional dos EUA (NSA) de realizar um ataque cibernético premeditado contra o Centro Nacional de Serviço de Tempo (NTSC), descrevendo os EUA como um “império hacker”. O Ministério da Segurança do Estado (MSS) afirmou ter encontrado “provas irrefutáveis” da participação da NSA em uma intrusão que teria ocorrido em 25 de março de 2022, embora o ataque tenha sido frustrado. O NTSC, responsável pela manutenção do horário padrão nacional, poderia ter sofrido consequências severas, como falhas em comunicações e interrupções em sistemas financeiros, caso o ataque tivesse sucesso. Segundo o MSS, a NSA teria explorado falhas de segurança em um serviço de SMS de uma marca estrangeira para comprometer dispositivos móveis de funcionários do NTSC, resultando no roubo de dados sensíveis. Além disso, a agência americana teria utilizado credenciais de login roubadas para acessar os computadores do NTSC e implementar uma nova plataforma de “guerra cibernética” entre agosto de 2023 e junho de 2024, ativando 42 ferramentas especializadas para ataques intensos. O MSS também acusou os EUA de realizar ataques cibernéticos persistentes contra diversos países, incluindo a China, e de distorcer a narrativa sobre a “ameaça cibernética chinesa”.

O Grupo Volkswagen confirmou que está investigando alegações do grupo de ransomware 8Base, que afirma ter roubado e vazado dados sensíveis da montadora alemã. Embora a empresa assegure que sua infraestrutura de TI principal permanece segura, a natureza vaga da resposta gerou preocupações sobre uma possível violação de dados de terceiros. O grupo 8Base, conhecido por suas táticas de extorsão dupla, alegou ter exfiltrado arquivos confidenciais em 23 de setembro de 2024, ameaçando divulgar os dados até 26 de setembro. Embora o prazo inicial tenha passado sem vazamentos, 8Base listou as informações roubadas em sua plataforma na dark web. Os dados comprometidos incluem faturas, documentos contábeis, arquivos pessoais de funcionários e contratos de trabalho. Se confirmada, essa violação pode expor informações financeiras e pessoais sensíveis em operações globais da Volkswagen, afetando marcas renomadas como Audi e Porsche. Especialistas em cibersegurança destacam a necessidade urgente de aprimorar a gestão de riscos de terceiros, uma vez que ataques modernos frequentemente exploram vulnerabilidades em parceiros da cadeia de suprimentos.

No dia 19 de outubro de 2025, a Europol anunciou a desarticulação de uma plataforma sofisticada de cibercrime como serviço (CaaS), conhecida como Operation SIMCARTEL. A operação resultou em 26 buscas e na prisão de sete suspeitos, incluindo cinco cidadãos letões. Foram apreendidos 1.200 dispositivos de SIM box, que continham 40.000 cartões SIM ativos, além de cinco servidores e dois sites que promoviam o serviço. A operação envolveu autoridades de países como Áustria, Estônia, Finlândia e Letônia, e revelou que a rede criminosa estava ligada a mais de 1.700 casos de fraudes cibernéticas na Áustria e 1.500 na Letônia, totalizando perdas de cerca de €4,5 milhões e €420.000, respectivamente. A infraestrutura da plataforma permitia a criação de números de telefone registrados em mais de 80 países, facilitando atividades criminosas como phishing, fraudes financeiras e extorsão. Além disso, a plataforma promovia a monetização de cartões SIM, atraindo usuários com promessas de renda passiva. A operação destaca a crescente complexidade e sofisticação das redes de cibercrime, que utilizam tecnologias avançadas para ocultar identidades e realizar fraudes em larga escala.

O spoofing é uma técnica de ciberataque que consiste em imitar a identidade de uma pessoa ou sistema para enganar vítimas. Essa prática é comumente utilizada em ataques de phishing e engenharia social, onde hackers se passam por indivíduos confiáveis, como superiores ou instituições conhecidas, para roubar dados pessoais e financeiros. Existem várias modalidades de spoofing, incluindo spoofing de e-mail, IP, DNS, ARP e URL. Cada uma dessas táticas tem suas particularidades, mas todas visam enganar a vítima e facilitar o acesso a informações sensíveis ou a instalação de malwares. Para se proteger, é essencial que os usuários verifiquem cuidadosamente os remetentes de e-mails, evitem clicar em links suspeitos e utilizem autenticação de dois fatores sempre que possível. Além disso, empresas devem implementar políticas de segurança, como SPF, DKIM e DMARC, e treinar seus funcionários para reconhecer tentativas de spoofing. Casos reais, como a fraude do CEO que resultou na perda de milhões pela Ubiquiti, demonstram a gravidade e o impacto potencial desses ataques. Portanto, a conscientização e a adoção de medidas preventivas são fundamentais para mitigar os riscos associados ao spoofing.

Pesquisadores de cibersegurança identificaram uma nova campanha maliciosa que visa os setores automotivo e de e-commerce na Rússia, utilizando um malware .NET inédito chamado CAPI Backdoor. A análise da Seqrite Labs revela que a infecção é desencadeada por e-mails de phishing que contêm um arquivo ZIP. Dentro deste arquivo, há um documento em russo que finge ser uma notificação sobre legislação tributária e um arquivo de atalho do Windows (LNK) que executa o malware.

O grupo de cibercrime conhecido como Silver Fox, associado ao malware Winos 4.0, ampliou suas operações, agora mirando Japão e Malásia, além de China e Taiwan. A nova variante, chamada HoldingHands RAT, é distribuída por meio de e-mails de phishing que contêm PDFs com links maliciosos, disfarçados como documentos oficiais do Ministério das Finanças. O Winos 4.0 é frequentemente disseminado via phishing e técnicas de SEO, levando usuários a sites falsos que imitam softwares populares. Recentemente, a Fortinet identificou campanhas que utilizam documentos de Excel relacionados a impostos como isca para infectar sistemas. O HoldingHands RAT é projetado para se conectar a servidores remotos, capturar informações sensíveis e executar comandos do atacante. A complexidade do ataque é aumentada por técnicas de evasão que dificultam a detecção, como a desativação de softwares de segurança. A situação é preocupante, pois a exfiltração de dados pode resultar em espionagem cibernética e roubo de identidade, representando uma ameaça significativa para a infraestrutura organizacional e a privacidade individual.

Pesquisadores da FortiGuard Labs alertam sobre um novo malware chamado Stealit, que opera como um serviço comercial de roubo de dados. Este vírus, direcionado principalmente a usuários do Windows, é capaz de assumir o controle do computador da vítima, capturando informações sensíveis, como senhas e dados pessoais. O Stealit utiliza uma ferramenta chamada Single Executable Application (SEA), que permite que todos os arquivos maliciosos sejam compactados em um único programa, facilitando sua execução mesmo em sistemas sem Node.js instalado.

Pesquisadores identificaram um aumento nas táticas sofisticadas de cadeia de suprimentos do grupo WaterPlum, vinculado à Coreia do Norte, especificamente sua Cluster B, que ampliou a distribuição do malware OtterCandy por meio da campanha ClickFake Interview no Japão e em outras regiões. Desde julho de 2025, a Cluster B mudou seu foco para um RAT (Remote Access Trojan) baseado em Node.js, chamado OtterCandy, que combina recursos de ferramentas anteriores e permite a exfiltração de dados de forma mais eficiente. O malware se conecta a um servidor de comando e controle (C2) via Socket.IO, transmitindo informações do sistema e coletando credenciais de navegadores, arquivos de carteiras de criptomoedas e documentos do usuário. A versão 2 do OtterCandy introduziu melhorias significativas, como a coleta de dados completos de perfis de navegadores e um comando que apaga vestígios de sua presença. Organizações no Japão e em regiões afetadas devem reforçar suas regras de detecção de endpoints e monitorar atividades suspeitas relacionadas ao Node.js. A evolução do OtterCandy representa um ponto crítico nas operações de atores de ameaças da Coreia do Norte, exigindo vigilância reforçada em controles de segurança de cadeia de suprimentos e endpoints.