Cibersegurança

Nova funcionalidade do VirusTotal fornece descrições de funções de código

Em 28 de agosto de 2025, o VirusTotal lançou uma nova funcionalidade chamada Code Insight, que visa ajudar analistas de segurança a lidar com a crescente complexidade dos malwares. Essa ferramenta integra análise de código impulsionada por inteligência artificial (IA) diretamente em ferramentas de engenharia reversa, permitindo que os analistas submetam trechos de código em formato Base64 e recebam resumos e descrições detalhadas sobre as funções do código. A funcionalidade promete reduzir significativamente o esforço manual, ao resumir e contextualizar funções desmontadas ou decompiladas, acelerando o ciclo de análise de malware. A atualização do plugin VT-IDA para IDA Pro facilita a integração, permitindo que os analistas aceitem, editem e armazenem análises em um caderno específico. A nova abordagem também inclui um recurso de memória que aprende com as correções feitas pelos analistas, melhorando a precisão das análises ao longo do tempo. Embora os resultados iniciais sejam promissores, o VirusTotal está buscando feedback da comunidade para aprimorar ainda mais os modelos de IA utilizados.

Hackers exploram software obsoleto em operação TAOTH para roubo de dados

Uma nova campanha de cibercrime, chamada TAOTH, foi descoberta, utilizando um servidor de atualização do Sogou Zhuyin Input Method Editor (IME) descontinuado para infectar usuários com malwares avançados. Desde outubro de 2024, os atacantes exploraram o mecanismo de atualização do aplicativo Sogou Zhuyin, que permite a digitação em mandarim, para entregar cargas maliciosas. O domínio expirado ‘sogouzhuyin[.]com’ foi repurposto para disseminar instaladores de software legítimos que se tornaram maliciosos horas após a instalação, ativando uma atualização contaminada através do arquivo ‘ZhuyinUp.exe’. Os malwares observados incluem TOSHIS, DESFY, GTELAM e C6DOOR, que possibilitam vigilância extensiva e roubo de dados, especialmente entre usuários em Taiwan e na comunidade taiwanesa no exterior. Além disso, os atacantes usaram campanhas de spear-phishing para atingir dissidentes e líderes empresariais na China e em outros países da região. A análise técnica revelou que o TOSHIS atua como um carregador, enquanto o DESFY coleta informações de arquivos, e o GTELAM exfiltra nomes de documentos. A operação TAOTH é atribuída a grupos de ameaças que falam chinês, conhecidos por suas intrusões baseadas em cadeia de suprimentos e e-mail.

Vulnerabilidade zero-day no FreePBX expõe sistemas a ataques

A equipe de segurança do FreePBX, uma plataforma de troca privada de ramais amplamente utilizada, emitiu um alerta sobre uma vulnerabilidade zero-day que está sendo ativamente explorada. Identificada como CVE-2025-57819, a falha afeta versões do FreePBX 15, 16 e 17, permitindo acesso não autenticado ao painel de administração, o que pode resultar em manipulação arbitrária de banco de dados e execução remota de código. A exploração começou em 21 de agosto de 2025, afetando sistemas com controle de acesso inadequado. Os usuários são aconselhados a atualizar para as versões mais recentes e restringir o acesso público ao painel de administração. Indicadores de comprometimento incluem arquivos modificados ou ausentes, solicitações POST suspeitas e usuários desconhecidos no banco de dados. A situação é crítica, com a possibilidade de acesso root aos sistemas comprometidos, o que torna a resposta imediata essencial para mitigar riscos.

Click Studios corrige vulnerabilidade crítica no Passwordstate

A Click Studios, desenvolvedora do gerenciador de senhas Passwordstate, anunciou a liberação de atualizações de segurança para corrigir uma vulnerabilidade de bypass de autenticação em seu software. A falha, que ainda não possui um identificador CVE, foi abordada na versão 9.9 (Build 9972), lançada em 28 de agosto de 2025. A empresa australiana informou que a vulnerabilidade permitia um ‘potencial bypass de autenticação ao usar uma URL cuidadosamente elaborada contra a página de Acesso de Emergência do Passwordstate’. Além disso, a nova versão inclui proteções aprimoradas contra ataques de clickjacking, que podem afetar a extensão do navegador do Passwordstate, especialmente se os usuários visitarem sites comprometidos. Essas melhorias são uma resposta a descobertas do pesquisador de segurança Marek Tóth, que destacou uma técnica de clickjacking baseada no Document Object Model (DOM) que afeta várias extensões de gerenciadores de senhas. A Click Studios atende 29.000 clientes, incluindo agências governamentais e empresas da Fortune 500. Esta atualização é particularmente relevante, considerando que a empresa já enfrentou um ataque à sua cadeia de suprimentos há mais de quatro anos, que comprometeu seu mecanismo de atualização de software.

Evolução da Prevenção de Vazamento de Dados para IA Generativa

As plataformas de IA generativa, como ChatGPT e Copilot, estão se tornando comuns nas organizações, trazendo eficiência, mas também novos desafios na prevenção de vazamentos de dados. Informações sensíveis podem ser expostas através de prompts de chat, arquivos enviados para resumo ou plugins de navegador que contornam controles de segurança. As soluções tradicionais de DLP (Data Loss Prevention) frequentemente não conseguem detectar esses eventos. Tecnologias como o Fidelis Network Detection and Response (NDR) oferecem uma abordagem baseada em rede para controlar a atividade de IA, permitindo que as equipes monitorem, apliquem políticas e auditem o uso de IA generativa.

Campanha de espionagem utiliza servidor de atualização abandonado

Uma campanha de espionagem cibernética, identificada como TAOTH, foi revelada por pesquisadores da Trend Micro, destacando o uso de um servidor de atualização abandonado do software Sogou Zhuyin para disseminar diversas famílias de malware, como C6DOOR e GTELAM. Os alvos principais incluem dissidentes, jornalistas e líderes de tecnologia na China, Taiwan, Hong Kong, Japão e Coreia do Sul. Os atacantes se apropriaram de um domínio que não recebia atualizações desde 2019, utilizando-o para distribuir atualizações maliciosas a partir de outubro de 2024. A cadeia de infecção começa quando usuários baixam o instalador legítimo do Sogou Zhuyin, que, após a instalação, busca atualizações maliciosas. As famílias de malware implantadas têm funções variadas, como acesso remoto e roubo de informações, utilizando serviços de nuvem para ocultar suas atividades. A Trend Micro recomenda que organizações realizem auditorias regulares em seus ambientes e revisem as permissões de aplicativos em nuvem para mitigar esses riscos.

Amazon interrompe campanha de phishing ligada ao APT29 da Rússia

No dia 29 de agosto de 2025, a Amazon anunciou a interrupção de uma campanha de phishing conhecida como “watering hole”, atribuída ao grupo de hackers APT29, vinculado à inteligência russa. Essa campanha utilizou sites comprometidos para redirecionar visitantes a uma infraestrutura maliciosa, enganando usuários a autorizarem dispositivos controlados pelos atacantes através do fluxo de autenticação de código de dispositivo da Microsoft. APT29, também conhecido como Cozy Bear, tem sido ativo em ataques direcionados a entidades ucranianas e na coleta de dados sensíveis. Recentemente, o grupo adotou métodos de phishing, como o phishing de código de dispositivo, para obter acesso não autorizado a contas do Microsoft 365. A campanha da Amazon destacou a evolução das táticas do APT29, que agora inclui técnicas de evasão, como a codificação Base64 para ocultar código malicioso. Apesar das tentativas do grupo de mudar para novas infraestruturas, a equipe de inteligência da Amazon continuou a rastrear e interromper suas operações, evidenciando a persistência da ameaça. O ataque redirecionou cerca de 10% dos visitantes de sites legítimos para domínios controlados pelos atacantes, que imitavam páginas de verificação da Cloudflare, visando coletar códigos de dispositivo legítimos dos usuários.

Ferramentas de Trading Gratuitas Viram Armadilha para Android

Cibercriminosos estão utilizando a plataforma de anúncios do Facebook para disseminar malware avançado para dispositivos Android. Um estudo da Bitdefender Labs documentou uma série de ataques em 2025, onde anúncios falsos promovem versões gratuitas do TradingView Premium, levando usuários a sites fraudulentos. Esses sites imitam páginas legítimas e induzem os usuários a baixar um arquivo APK malicioso que solicita permissões avançadas, como acesso à acessibilidade. O malware, uma variante evoluída do Brokewell, utiliza técnicas de ofuscação para evitar detecção e, uma vez instalado, permite que atacantes tenham controle total sobre os dispositivos comprometidos. Isso inclui a capacidade de roubar dados financeiros, contornar autenticações de dois fatores e até mesmo ativar microfones e câmeras. A campanha é global, com anúncios localizados em várias línguas e direcionados a usuários de Android, enquanto usuários de outras plataformas veem conteúdo benigno. A Bitdefender recomenda que usuários móveis instalem aplicativos apenas de fontes confiáveis e revisem cuidadosamente as permissões solicitadas.

Pacotes Nx Comprometidos Malware Rouba Credenciais de Milhões

Em 26 de agosto de 2025, o popular ferramenta de construção Nx foi alvo de um ataque sofisticado de cadeia de suprimentos, resultando na exfiltração de milhares de credenciais de desenvolvedores. Pesquisadores de segurança da GitGuardian identificaram a campanha maliciosa, chamada ‘s1ngularity’, que infectou pacotes Nx no npm com malware projetado para roubar credenciais. Em poucos dias, os atacantes conseguiram coletar mais de 2.300 segredos, incluindo tokens do GitHub, chaves de autenticação do npm e credenciais da AWS.

Hackers se passam por suporte técnico no Microsoft Teams para roubar controle de tela

Um novo vetor de ataque cibernético tem se destacado, onde hackers estão se passando por pessoal de suporte técnico no Microsoft Teams para roubar o controle de tela dos usuários. Este tipo de phishing, que antes era restrito a e-mails, agora se aproveita das configurações padrão de comunicação externa do Teams, permitindo que os atacantes se façam passar por funcionários de TI. Com a crescente adoção do trabalho remoto, muitas organizações mantêm as mensagens e chamadas externas habilitadas por padrão, o que facilita a intrusão. Os atacantes podem iniciar chats ou chamadas de voz, muitas vezes contornando avisos de segurança que aparecem brevemente antes de desaparecerem. Além disso, eles têm utilizado técnicas para compartilhar arquivos maliciosos disfarçados como documentos legítimos, complicando a detecção. Para mitigar esses riscos, as equipes de operações de segurança (SOCs) devem monitorar domínios externos suspeitos e padrões de nomes que imitam o suporte técnico, além de implementar estratégias de detecção e resposta rápidas. A conscientização dos usuários sobre as táticas de impersonação é crucial para fortalecer a segurança nas comunicações corporativas.

TransUnion relata vazamento de dados afetando mais de 4,4 milhões de consumidores

A TransUnion LLC, uma das principais agências de relatórios de crédito, notificou um vazamento de dados que afetou 4.461.511 indivíduos em todo o país, incluindo 16.828 residentes do estado do Maine. O incidente foi detectado em 28 de julho de 2025, quando a equipe de segurança da empresa identificou atividades anômalas que indicavam acesso não autorizado a bancos de dados contendo informações pessoais. A confirmação do vazamento ocorreu dois dias depois, em 30 de julho, e a empresa iniciou notificações escritas aos consumidores afetados em 26 de agosto de 2025.

Como programadores norte-coreanos usam redes de código para empregos remotos

Profissionais de TI da Coreia do Norte estão utilizando plataformas globais de compartilhamento de código, como GitHub e Freelancer, para conseguir empregos remotos. Investigações revelaram a existência de pelo menos cinquenta perfis ativos no GitHub, com contribuições em tecnologias como React JS e Node JS. Esses trabalhadores adotam estratégias sofisticadas para ocultar suas identidades, utilizando identidades falsas e imagens geradas por IA. Além disso, eles participam ativamente de fóruns de desenvolvedores e mercados de freelancers, alinhando suas habilidades com as tendências globais de contratação. O impacto econômico dessas operações é significativo, com estimativas de que esses trabalhadores gerem entre 250 e 600 milhões de dólares anualmente, frequentemente direcionados para iniciativas estatais sancionadas. A interconexão com redes na Rússia e na China complica ainda mais a rastreabilidade dessas atividades. As autoridades de cibersegurança estão em alerta, dado o envolvimento de operativos norte-coreanos em crimes graves, incluindo lavagem de dinheiro e ataques cibernéticos de grande escala.

Campanha de cibercrime usa malvertising para disseminar malware

Pesquisadores de cibersegurança descobriram uma campanha de cibercrime que utiliza técnicas de malvertising para direcionar vítimas a sites fraudulentos, onde é distribuído um novo malware chamado TamperedChef. O objetivo é enganar os usuários a baixarem e instalarem um editor de PDF trojanizado, que coleta dados sensíveis, incluindo credenciais e cookies de navegação. A campanha começou em 26 de junho de 2025, com vários sites falsos promovendo um instalador para um editor de PDF gratuito chamado AppSuite PDF Editor. Após a instalação, o programa faz alterações no registro do Windows para garantir que o executável malicioso seja iniciado automaticamente após a reinicialização do sistema. A partir de 21 de agosto de 2025, o malware se torna ativo, coletando informações e permitindo que o invasor execute comandos arbitrários. A análise revelou que o aplicativo malicioso atua como um backdoor, com várias funcionalidades, incluindo a capacidade de baixar malware adicional e manipular dados do navegador. A campanha é considerada uma ameaça significativa, com o editor de PDF sendo amplamente baixado e instalado por usuários desavisados.

Google alerta sobre ataque a instâncias do Salesforce via Salesloft Drift

Recentemente, o Google revelou que uma série de ataques direcionados a instâncias do Salesforce por meio da plataforma Salesloft Drift é mais abrangente do que se pensava inicialmente. O Google Threat Intelligence Group (GTIG) e a Mandiant aconselharam todos os clientes do Salesloft Drift a considerarem todos os tokens de autenticação armazenados ou conectados à plataforma como potencialmente comprometidos. Os atacantes utilizaram tokens OAuth roubados para acessar e-mails de algumas contas do Google Workspace, especificamente aquelas integradas ao Salesloft Drift. Após a descoberta, o Google notificou os usuários afetados, revogou os tokens OAuth específicos e desativou a funcionalidade de integração entre o Google Workspace e o Salesloft Drift enquanto a investigação estava em andamento. A Salesloft, por sua vez, informou que a integração entre Salesforce e Drift foi temporariamente desativada, embora não haja evidências de atividade maliciosa nas integrações do Salesloft relacionadas ao incidente. Essa situação destaca a importância de revisar todas as integrações de terceiros conectadas ao Drift e de tomar medidas proativas para proteger as credenciais e sistemas conectados.

Autoridades desmantelam mercado ilegal de documentos falsos na web

As autoridades dos Países Baixos e dos Estados Unidos anunciaram a desarticulação do mercado ilícito VerifTools, que vendia documentos de identidade fraudulentos para cibercriminosos em todo o mundo. Dois domínios do marketplace, verif[.]tools e veriftools[.]net, além de um blog associado, foram retirados do ar, redirecionando os visitantes para uma página informativa sobre a ação realizada pelo FBI, com base em um mandado judicial. Os servidores do site foram confiscados em Amsterdã.

Visibilidade de Código à Nuvem A Nova Base para Segurança de Aplicativos

O artigo destaca a crescente preocupação com a segurança de aplicativos na nuvem, especialmente em um cenário onde falhas de segurança podem custar milhões às empresas. Em 2025, o custo médio de uma violação de dados é estimado em US$ 4,44 milhões, com uma parte significativa desses problemas originando-se de erros de segurança em aplicativos. A visibilidade de código à nuvem é apresentada como uma solução eficaz para identificar riscos desde a fase de desenvolvimento até a operação na nuvem. O artigo menciona que 32% das organizações enfrentam dificuldades na gestão de vulnerabilidades, enquanto 97% lidam com questões de segurança relacionadas à inteligência artificial generativa. Um webinar programado para 8 de setembro de 2025 promete oferecer insights práticos sobre como implementar essa abordagem, visando melhorar a colaboração entre equipes de desenvolvimento, operações e segurança. Os participantes aprenderão a mapear riscos, acelerar correções e se preparar para novas ameaças, tudo isso sem sobrecarregar suas operações.

Spyware, ransomware e ladrão de senhas novo vírus para Android é tudo em um

A empresa de segurança mobile Zimperium alertou sobre uma nova variante do trojan bancário Hook, agora denominado Hook Versão 3, que se transformou em uma ameaça híbrida, atuando como spyware, ransomware e ferramenta de hacking. Este malware é capaz de executar 107 comandos remotos e possui 38 funções adicionais, aproveitando-se dos serviços de acessibilidade do Android para obter permissões irrestritas no dispositivo da vítima.

Uma das características mais preocupantes do Hook Versão 3 é sua capacidade de criar telas falsas transparentes, que imitam a tela de bloqueio e as telas de pagamento do Google Play, com o objetivo de roubar informações sensíveis, como PINs e dados de cartões de crédito. Além disso, o malware transmite a tela do celular em tempo real para os cibercriminosos, permitindo que eles monitorem as atividades da vítima. O ransomware também pode bloquear a tela do dispositivo, exigindo um pagamento em criptomoedas para a liberação.

Exército da Salvação enfrenta vazamento de dados em ataque cibernético

O Exército da Salvação está enviando cartas a vítimas de um vazamento de dados ocorrido em maio de 2025, que expôs informações pessoais, como nomes, números de Seguro Social e números de carteira de motorista. O incidente foi detectado em 24 de maio de 2025, quando uma terceira parte não autorizada acessou a rede da organização. A investigação, concluída em 8 de agosto de 2025, confirmou que dados pessoais foram adquiridos durante o ataque. O grupo de ransomware Chaos reivindicou a responsabilidade pelo ataque, embora o Exército da Salvação não tenha confirmado essa alegação. A organização está oferecendo 12 meses de monitoramento de crédito gratuito para as vítimas. Em um contexto mais amplo, o grupo Chaos, que surgiu em 2021, utiliza táticas de extorsão dupla, exigindo pagamento tanto pela recuperação de sistemas quanto pela não divulgação de dados roubados. Até agora, em 2025, foram registrados 632 ataques de ransomware, comprometendo 28,8 milhões de registros, com uma demanda média de resgate de 1,7 milhão de dólares. O Exército da Salvação não é a primeira organização de caridade a ser alvo de um ataque desse tipo, evidenciando a vulnerabilidade do setor a ameaças cibernéticas.

Vulnerabilidade no Marketplace do Visual Studio Code expõe riscos de malware

Pesquisadores de cibersegurança descobriram uma falha no Marketplace do Visual Studio Code que permite a reutilização de nomes de extensões removidas, facilitando a criação de novas extensões maliciosas. A empresa ReversingLabs identificou uma extensão chamada ‘ahbanC.shiba’, que atua como downloader de um payload PowerShell, semelhante a extensões previamente removidas. Essas extensões maliciosas visam criptografar arquivos em pastas específicas e exigem pagamento em tokens Shiba Inu. A reutilização de nomes de extensões deletadas representa um risco significativo, pois qualquer um pode criar uma nova extensão com o mesmo nome de uma popular que foi removida. Além disso, a vulnerabilidade não é exclusiva do Visual Studio Code, já que repositórios como o Python Package Index (PyPI) também permitem essa prática. A situação é alarmante, pois os atacantes estão cada vez mais utilizando repositórios de código aberto como vetores de ataque, o que exige que organizações e desenvolvedores adotem práticas de desenvolvimento seguro e monitorem ativamente essas plataformas para evitar ameaças à cadeia de suprimentos de software.

Hackers podem roubar dados com comandos escondidos em imagens processadas por IA

Pesquisadores do grupo Trail of Bits revelaram uma nova vulnerabilidade que permite a hackers roubar dados de usuários ao injetar comandos maliciosos em imagens processadas por sistemas de inteligência artificial (IA), como o Gemini da Google. A técnica utiliza esteganografia, onde instruções invisíveis ao olho humano são incorporadas em imagens de alta resolução. Quando essas imagens são redimensionadas por algoritmos de IA, os comandos ocultos podem se tornar visíveis e ser interpretados como parte das solicitações do usuário.

Grande violação de dados em serviços de saúde expõe informações de 600 mil pessoas

O Healthcare Services Group (HSGI), um prestador de serviços de apoio a instalações de saúde, sofreu um ataque cibernético no final de setembro de 2024, resultando no roubo de dados sensíveis de mais de 600 mil pessoas. A violação foi detectada em 7 de outubro de 2024, e a investigação revelou que arquivos foram acessados entre 27 de setembro e 3 de outubro. Os dados comprometidos incluem nomes completos, números de Seguro Social (SSN), números de carteira de motorista, informações financeiras e credenciais de acesso a contas. O roubo de informações tão sensíveis pode facilitar fraudes de identidade, como abertura de contas bancárias e empréstimos fraudulentos. Embora a HSGI não tenha encontrado evidências de abuso dos dados até o momento, a empresa está oferecendo serviços gratuitos de monitoramento de roubo de identidade por 12 a 24 meses, dependendo da combinação de dados roubados. Os afetados devem estar atentos a tentativas de phishing e comunicações fraudulentas que possam surgir, especialmente aquelas que alegam ser da HSGI.

Cibercriminosos exploram Velociraptor para acesso remoto

Uma nova campanha de ataque, investigada pela unidade de Contra-Ameaças da Sophos, revela como cibercriminosos estão mudando suas táticas ao usar ferramentas de segurança legítimas como armas ofensivas. Neste caso, os atacantes utilizaram a ferramenta de resposta a incidentes Velociraptor, normalmente empregada por defensores, para estabelecer acesso remoto e facilitar compromissos adicionais. O ataque começou com o uso do utilitário msiexec do Windows, que baixou um instalador malicioso. Após a instalação do Velociraptor, os atacantes executaram um comando PowerShell codificado para buscar o Visual Studio Code, utilizando sua capacidade de tunelamento para criar um canal covert para seu servidor de comando e controle. A utilização inesperada do tunelamento do Visual Studio Code acionou um alerta da Taegis™, permitindo que analistas da Sophos isolassem rapidamente o host afetado, prevenindo uma possível implementação de ransomware. A análise revelou que os atacantes já haviam preparado o terreno para fases posteriores da operação, que poderiam incluir criptografia de dados e extorsão. Este incidente destaca a crescente vulnerabilidade de softwares confiáveis à manipulação, exigindo que os defensores tratem o uso anômalo de ferramentas como Velociraptor como indicadores sérios de comprometimento.

Ataque à cadeia de suprimentos compromete pacotes npm populares

Os mantenedores do sistema de construção nx alertaram os usuários sobre um ataque à cadeia de suprimentos que permitiu a publicação de versões maliciosas de pacotes npm populares, incluindo o nx e plugins auxiliares. Essas versões continham código que escaneava o sistema de arquivos, coletava credenciais e as enviava para repositórios no GitHub sob as contas dos usuários. O ataque ocorreu devido a uma vulnerabilidade introduzida em um fluxo de trabalho em 21 de agosto de 2025, que permitiu a execução de código malicioso através de um pull request. Embora a vulnerabilidade tenha sido revertida rapidamente, um ator malicioso conseguiu explorar uma branch desatualizada. As versões comprometidas foram removidas do registro npm, mas os usuários são aconselhados a rotacionar suas credenciais e tokens do GitHub e npm, além de verificar arquivos de configuração do sistema para instruções suspeitas. O ataque destaca a crescente sofisticação dos ataques à cadeia de suprimentos, especialmente com o uso de assistentes de IA para exploração maliciosa.

Segurança em Ferramentas de Gestão de Projetos Riscos e Soluções

As ferramentas de gestão de projetos, como Trello e Asana, são amplamente utilizadas por empresas para organizar tarefas e colaborar em equipe. No entanto, a confiança depositada nessas plataformas pode ser arriscada, especialmente após incidentes como o vazamento de dados de 15 milhões de perfis de usuários do Trello em 2024. O custo médio de uma violação de dados é de aproximadamente 4,88 milhões de dólares, segundo a Statista. Os principais riscos incluem erros humanos, que representam 52% das causas de brechas de segurança, e ataques cibernéticos, que têm se tornado cada vez mais comuns. Embora essas ferramentas ofereçam recursos de segurança básicos, como controle de acesso e criptografia, elas não são suficientes para proteger contra perdas de dados significativas. A falta de histórico de versões e janelas limitadas de recuperação são algumas das limitações que podem levar a perdas irreparáveis. Para mitigar esses riscos, a adoção de soluções de backup em nuvem, como o FluentPro Backup, é essencial. Essa ferramenta oferece backups automáticos, restauração rápida e controle de versões, garantindo a continuidade dos projetos e a confiança dos stakeholders.

Grupo de APT Salt Typhoon continua ataques globais

O grupo de ameaças persistentes avançadas (APT) conhecido como Salt Typhoon, vinculado à China, tem intensificado seus ataques a redes em todo o mundo, incluindo setores críticos como telecomunicações, governo, transporte, hospedagem e infraestrutura militar. Segundo um alerta conjunto de autoridades de 13 países, o grupo tem como alvo roteadores de grandes provedores de telecomunicações, utilizando dispositivos comprometidos para acessar outras redes. As atividades maliciosas estão associadas a três empresas chinesas que fornecem produtos e serviços cibernéticos para os serviços de inteligência da China. Desde 2019, o Salt Typhoon tem se envolvido em uma campanha de espionagem, visando violar normas de privacidade e segurança global. Recentemente, o grupo ampliou seu foco para outros setores, atacando mais de 600 organizações em 80 países, incluindo 200 nos Estados Unidos. Os atacantes exploram vulnerabilidades em dispositivos de rede, como roteadores da Cisco e Ivanti, para obter acesso inicial e manter controle persistente sobre as redes. O uso de protocolos de autenticação, como TACACS+, permite que os invasores se movam lateralmente dentro das redes comprometidas, capturando dados sensíveis e credenciais. A familiaridade do grupo com sistemas de telecomunicações proporciona uma vantagem significativa na evasão de defesas.

Nova Ameaça - Microsoft Detalha Uso de Nuvem pelo Storm-0501 para Ransomware

A Microsoft Threat Intelligence revelou que o grupo de cibercriminosos Storm-0501, conhecido por atacar escolas e prestadores de serviços de saúde nos EUA, evoluiu suas táticas, agora utilizando operações de ransomware nativas da nuvem. Em vez de depender apenas de malware para criptografar dispositivos locais, o grupo explora vulnerabilidades em ambientes de nuvem híbridos, realizando exfiltração de dados em larga escala e comprometendo recursos do Azure.

O ataque geralmente começa com a violação do Active Directory através de contas de administrador de domínio comprometidas, permitindo acesso ao Microsoft Entra ID. O Storm-0501 utiliza ferramentas como AzureHound para enumerar recursos na nuvem e escalar privilégios, muitas vezes através de contas mal configuradas que não exigem autenticação multifator (MFA). Após obter acesso total, o grupo realiza operações de descoberta e exfiltração, deletando backups e utilizando APIs legítimas do Azure para dificultar a recuperação dos dados. A extorsão final frequentemente ocorre por meio de mensagens no Microsoft Teams.

Editor de PDF malicioso no recente ataque TamperedChef compromete dados

Pesquisadores de segurança da Truesec descobriram uma campanha em larga escala que distribui um editor de PDF malicioso chamado AppSuite PDF Editor, que serve como mecanismo de entrega para o malware TamperedChef, que rouba informações. A operação utilizou táticas agressivas de publicidade, incluindo anúncios no Google, para atrair usuários desavisados a baixar o utilitário trojanizado. O instalador, disfarçado como PDF Editor.exe, possui assinaturas hash conhecidas e, ao ser executado, exibe um acordo de licença padrão antes de se conectar a um servidor remoto para buscar um executável secundário. Uma vez instalado, o malware coleta dados sensíveis, visando bancos de dados de credenciais de navegadores, e interrompe processos de navegadores como Chrome e Edge para acessar credenciais e cookies armazenados. A campanha destaca os riscos de baixar software aparentemente inofensivo de fornecedores desconhecidos, utilizando certificados digitais confiáveis para ocultar a intenção maliciosa. Especialistas em segurança recomendam vigilância na verificação de software e relatar campanhas suspeitas para mitigar futuros ataques.

Erro no Microsoft Teams impede acesso a arquivos do Office incorporados

Na manhã de quinta-feira, 28 de agosto de 2025, usuários do Microsoft Teams em todo o mundo enfrentaram uma interrupção significativa no serviço, com documentos do Microsoft Office incorporados não carregando na plataforma de colaboração. O problema começou a ser relatado às 06:00 UTC, afetando tanto usuários corporativos quanto individuais que não conseguiam abrir arquivos do Word, Excel e PowerPoint diretamente em canais e chats do Teams. A Microsoft reconheceu oficialmente o problema sob o ID de incidente TM1143347, que está sendo investigado. Os usuários afetados se deparam com um carregamento contínuo, mensagens de erro ou telas em branco ao tentar acessar os documentos. A análise preliminar sugere que uma má configuração na pipeline de processamento de documentos dentro do Azure Functions está causando falhas nas chamadas da API ‘GetEmbeddedFile’ para o SharePoint Online e OneDrive for Business. Enquanto a equipe de engenharia trabalha em uma solução permanente, recomenda-se que os administradores de TI utilizem alternativas temporárias, como abrir os arquivos no navegador ou no aplicativo de desktop, para mitigar a perda de produtividade até que a situação seja normalizada.

CISA Lança Guia para Caçar e Mitigar Ameaças Patrocinadas pelo Estado Chinês

Em agosto de 2025, a NSA, CISA e FBI, em conjunto com parceiros internacionais, emitiram um alerta sobre uma campanha de comprometimento de redes patrocinada pelo Estado Chinês, envolvendo atores de Ameaça Persistente Avançada (APT). O guia detalha as táticas, técnicas e procedimentos (TTPs) utilizados para infiltrar redes de telecomunicações, governo, transporte e hospedagem em todo o mundo. Os atacantes exploram vulnerabilidades conhecidas, especialmente em roteadores e dispositivos de borda, utilizando exploits de alta gravidade, como os CVEs que afetam fornecedores como Cisco e Palo Alto Networks. Após a invasão, os atacantes alteram configurações de dispositivos para manter acesso persistente e evitar detecção. O guia recomenda ações como auditoria de tabelas de roteamento, monitoramento de portas de gerenciamento não padrão e isolamento do plano de gerenciamento. A importância da caça a ameaças e resposta rápida a incidentes é enfatizada, com um apelo para que as organizações relatem detalhes de compromissos para melhorar a compreensão coletiva e facilitar a mitigação.

Novas sanções dos EUA visam esquema de TI da Coreia do Norte

O Departamento do Tesouro dos EUA anunciou novas sanções contra dois indivíduos e duas entidades ligadas ao esquema de trabalhadores de tecnologia da informação (TI) da Coreia do Norte, que visa gerar receitas ilícitas para programas de armas de destruição em massa. As sanções atingem Vitaliy Sergeyevich Andreyev, Kim Ung Sun, a Shenyang Geumpungri Network Technology Co., Ltd e a Korea Sinjin Trading Corporation. O esquema, que já é monitorado há anos, envolve a infiltração de trabalhadores de TI norte-coreanos em empresas legítimas nos EUA, utilizando documentos fraudulentos e identidades roubadas. Além disso, a operação tem se apoiado em ferramentas de inteligência artificial para criar perfis profissionais convincentes e realizar trabalhos técnicos. O Departamento do Tesouro destacou que Andreyev facilitou transferências financeiras significativas para a Chinyong Information Technology Cooperation Company, que já havia sido sancionada anteriormente. O uso de IA por esses atores levanta preocupações sobre a segurança cibernética, especialmente para empresas que podem ser alvos de fraudes e extorsões. O impacto dessas atividades é significativo, com lucros estimados em mais de um milhão de dólares desde 2021.

Ataque em massa ao acesso remoto do Windows é identificado

A empresa de cibersegurança GreyNoise alertou sobre um ataque hacker em larga escala direcionado ao Microsoft Remote Desktop Web Access e ao RDP Web Client. O número de acessos aos portais de autenticação aumentou drasticamente, passando de uma média de 3 a 5 acessos diários para mais de 56 mil acessos simultâneos, com a maioria dos IPs originando-se do Brasil e os alvos localizados nos Estados Unidos. Essa atividade anômala sugere a utilização de uma botnet ou ferramentas de ataque coordenadas. A GreyNoise identificou que 92% dos IPs envolvidos já haviam sido sinalizados como maliciosos anteriormente. O ataque parece explorar falhas de tempo, onde variações no tempo de resposta do sistema podem revelar informações sobre a validade de logins. O aumento da atividade coincide com o retorno às aulas nos EUA, quando muitos novos usuários são criados, facilitando a adivinhação de credenciais. A recomendação para as empresas é implementar autenticação de dois fatores (2FA) e utilizar VPNs para proteger o acesso remoto.

Hacker oferece 15 milhões de logins do PayPal à venda ataque em massa?

Recentemente, um fórum de hackers divulgou a venda de 15,8 milhões de logins e senhas do PayPal, com o responsável, identificado como Chucky_BF, chamando o conteúdo de “Depósito Global de Credenciais PayPal 2025”. O arquivo, que possui mais de 1,1 GB de dados, inclui não apenas e-mails e senhas, mas também endereços associados ao serviço de pagamento. Especialistas analisaram amostras dos dados e descobriram que eles consistem em uma mistura de contas reais e falsas, o que é comum em vazamentos de dados antigos. O preço pedido pelo acesso completo é de US$ 750, o que indica um mercado ativo para a revenda de credenciais. Embora o PayPal nunca tenha sofrido uma violação direta de dados, incidentes anteriores mostraram que dados de usuários podem ser coletados por malwares ladrões de dados. Até o momento, o PayPal não confirmou nenhuma invasão e recomenda que os usuários mudem suas senhas e ativem a autenticação em dois fatores (2FA) como precaução.

O primeiro ransomware com inteligência artificial foi identificado

Pesquisadores da ESET descobriram o PromptLock, o primeiro ransomware conhecido a utilizar inteligência artificial. Este malware, que ainda é considerado um conceito em desenvolvimento, utiliza scripts em Lua gerados por prompts codificados para explorar sistemas de arquivos locais, inspecionar arquivos-alvo, exfiltrar dados selecionados e realizar criptografia. O PromptLock opera localmente através da API Ollama, utilizando o modelo gpt-oss:20b da OpenAI, lançado em agosto de 2025. A versatilidade dos scripts em Lua permite que o malware funcione em diferentes sistemas operacionais, como macOS, Linux e Windows. Embora o PromptLock ainda não tenha sido observado em ataques reais, especialistas alertam que a combinação de inteligência artificial e ransomware representa uma nova era de ameaças cibernéticas, tornando os ataques mais acessíveis e difíceis de detectar. A imprevisibilidade dos resultados gerados por modelos de linguagem torna a defesa contra esses ataques ainda mais desafiadora, aumentando a preocupação entre as equipes de segurança.

Grupo de ransomware PEAR ataca município de West Chester, Ohio

O grupo de ransomware PEAR reivindicou um ataque cibernético ao município de West Chester Township, em Ohio, ocorrido em agosto de 2025. Em 12 de agosto, as autoridades do município informaram que isolaram e contiveram uma violação de segurança cibernética. Três dias depois, PEAR afirmou ter roubado 2 TB de dados e listou o município em seu site de vazamento de dados. Até o momento, West Chester Township não confirmou a reivindicação do grupo, e não se sabe se um resgate foi pago ou como os atacantes conseguiram acessar a rede. Em 26 de agosto, o município sofreu um segundo ataque, desta vez ao seu servidor de e-mail central, levando ao fechamento de serviços de e-mail, telefone e website. Funcionários relataram ter recebido notas de resgate, mas nenhum grupo assumiu a responsabilidade por esse segundo ataque. As investigações estão em andamento com a ajuda de analistas do FBI, e os dados comprometidos ainda não foram divulgados. O grupo PEAR, que se concentra em roubo de dados e extorsão sem criptografar informações, já reivindicou 22 ataques, sendo apenas dois confirmados. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem comprometer sistemas críticos e a privacidade de cidadãos e funcionários.

Ransomware PromptLock usa IA para gerar scripts maliciosos em tempo real

A empresa de cibersegurança ESET revelou a descoberta de um novo ransomware chamado PromptLock, que utiliza inteligência artificial para gerar scripts maliciosos em tempo real. Escrito em Golang, o PromptLock emprega o modelo gpt-oss:20b da OpenAI através da API Ollama para criar scripts em Lua que podem enumerar sistemas de arquivos, inspecionar arquivos-alvo, exfiltrar dados e criptografar informações. Este ransomware é compatível com Windows, Linux e macOS, e é capaz de gerar notas personalizadas para as vítimas, dependendo dos arquivos afetados. Embora ainda não se saiba quem está por trás do malware, a ESET identificou que artefatos do PromptLock foram enviados ao VirusTotal a partir dos Estados Unidos em 25 de agosto de 2025. A natureza do ransomware, que é considerada uma prova de conceito, utiliza o algoritmo de criptografia SPECK de 128 bits. A ESET alerta que a variabilidade dos indicadores de comprometimento (IoCs) torna a detecção mais desafiadora, complicando as tarefas de defesa. O surgimento do PromptLock destaca como a IA pode facilitar a criação de campanhas de malware, mesmo para criminosos com pouca experiência técnica.

Grupo Storm-0501 refina ataques de ransomware em ambientes de nuvem

O grupo de cibercriminosos conhecido como Storm-0501 tem aprimorado suas táticas para realizar ataques de exfiltração de dados e extorsão, focando em ambientes de nuvem. Ao contrário do ransomware tradicional, que geralmente criptografa arquivos em redes locais, o Storm-0501 utiliza capacidades nativas da nuvem para exfiltrar rapidamente grandes volumes de dados, destruir informações e backups, e exigir resgates, tudo isso sem depender de malware convencional. Desde sua primeira documentação pela Microsoft em 2024, o grupo tem atacado setores como governo, manufatura e transporte nos EUA, mostrando uma evolução para um modelo de ransomware como serviço (RaaS). O acesso inicial é frequentemente facilitado por corretores de acesso, explorando credenciais comprometidas ou vulnerabilidades em servidores expostos. Recentemente, o grupo realizou um ataque a uma grande empresa, utilizando técnicas como DCSync para extrair credenciais do Active Directory e, em seguida, comprometer um servidor de sincronização do Entra Connect. Após a exfiltração de dados, o grupo deletou recursos críticos da Azure, dificultando a recuperação pela vítima. A Microsoft implementou mudanças para mitigar esses ataques, incluindo atualizações no Entra Connect e recomendações para habilitar o Trusted Platform Module (TPM) nos servidores de sincronização.

Sites da Tencent Cloud comprometidos expõem dados valiosos

Recentemente, a Tencent Cloud, um dos maiores provedores de nuvem da Ásia, enfrentou uma grave violação de segurança que expôs credenciais de login e código-fonte interno. Pesquisadores de segurança da Cybernews identificaram ‘severas desconfigurações’ em dois sites da Tencent, que permitiram o acesso público a arquivos sensíveis, incluindo credenciais codificadas e um diretório .git que continha todo o histórico de um projeto de software. A investigação revelou que esses dados estavam acessíveis por meses, desde abril de 2025, levantando preocupações sobre o uso malicioso das informações. As credenciais expostas eram fracas e vulneráveis a ataques de dicionário, aumentando o risco de acesso não autorizado a sistemas internos da Tencent Cloud. Embora a empresa tenha corrigido a falha após ser notificada, a extensão do acesso anterior levanta questões sobre a segurança de dados de seus clientes. Especialistas alertam que a situação pode ter permitido que bots de scraping acessassem dados críticos, potencialmente comprometendo a infraestrutura de backend da Tencent.

Vulnerabilidade na Interface de Administração do IPFire Permite Injeção de JavaScript

Uma nova vulnerabilidade, identificada como CVE-2025-50975, afeta a versão 2.29 do IPFire, um firewall amplamente utilizado. Essa falha permite que usuários autenticados com altos privilégios realizem ataques de cross-site scripting (XSS) persistente através da interface web do firewall. A vulnerabilidade se origina na falta de validação de entrada e sanitização em vários parâmetros de regras do firewall, como PROT, SRC_PORT e TGT_PORT. Isso possibilita que um atacante injete código JavaScript malicioso que será executado sempre que outro administrador acessar a página de regras do firewall. As consequências incluem roubo de cookies de autenticação, alterações não autorizadas nas regras do firewall e potencial acesso a sistemas internos. A exploração é considerada de baixa complexidade, exigindo apenas acesso à interface gráfica do usuário. Para mitigar os riscos, os administradores devem atualizar para a versão corrigida do IPFire imediatamente e implementar medidas temporárias, como restringir o acesso à interface e monitorar logs em busca de atividades suspeitas.

Spotify Lança Mensagens Diretas para Compartilhamento de Música, Levanta Preocupações de Segurança

O Spotify introduziu uma nova funcionalidade de mensagens diretas que permite aos usuários compartilhar músicas, podcasts e audiolivros diretamente no aplicativo. Disponível para usuários a partir de 16 anos em mercados selecionados, essa ferramenta visa centralizar as recomendações de conteúdo e aumentar o engajamento entre os usuários. Através de chats um-a-um, os usuários podem compartilhar faixas e reagir com emojis, facilitando a interação. Além disso, o Spotify implementou controles de privacidade, permitindo que os usuários aceitem ou rejeitem solicitações de mensagens e bloqueiem contatos indesejados.

Falhas Críticas no NVIDIA NeMo AI Curator Permitem Tomada de Sistema

A NVIDIA divulgou uma atualização crítica para o NVIDIA® NeMo Curator, visando corrigir uma vulnerabilidade de injeção de código de alta severidade, identificada como CVE-2025-23307. Essa falha afeta todas as plataformas suportadas pelo Curator e permite que um atacante, ao manipular um arquivo malicioso, consiga executar código remotamente, escalar privilégios, divulgar informações sensíveis ou adulterar dados. A vulnerabilidade é resultado de uma validação insuficiente das entradas fornecidas pelo usuário antes da avaliação dinâmica do código. Com uma pontuação base de 7.8 no CVSS v3.1, a falha apresenta um alto impacto em termos de confidencialidade, integridade e disponibilidade, com um vetor de ataque que requer baixa interação do usuário. A NVIDIA recomenda que todos os usuários atualizem para a versão 25.07 do Curator, que inclui controles de avaliação mais rigorosos e sanitização de entradas. As versões anteriores, em Windows, Linux e macOS, permanecem vulneráveis, e a urgência da atualização deve ser avaliada conforme as configurações e modelos de ameaça específicos de cada ambiente.

Cinco regras para uma adoção segura de IA nas empresas

O uso de Inteligência Artificial (IA) nas empresas está crescendo rapidamente, com colaboradores utilizando-a para redigir e-mails, analisar dados e transformar o ambiente de trabalho. No entanto, a adoção acelerada da IA traz desafios significativos em termos de segurança, especialmente pela falta de controle e salvaguardas adequadas. Para os Chief Information Security Officers (CISOs), a prioridade é garantir que a inovação não comprometa a segurança. O artigo apresenta cinco regras essenciais para uma adoção segura da IA: 1) Visibilidade e descoberta da IA, que exige monitoramento contínuo do uso de ferramentas de IA; 2) Avaliação de risco contextual, que considera o nível de risco associado a diferentes aplicações de IA; 3) Proteção de dados, estabelecendo limites sobre quais informações podem ser compartilhadas com ferramentas de IA; 4) Controles de acesso e diretrizes, que garantem que o uso da IA esteja dentro de políticas de segurança definidas; e 5) Supervisão contínua, para adaptar as medidas de segurança conforme as aplicações evoluem. A adoção segura da IA não deve ser vista como uma barreira, mas como uma oportunidade de inovar de forma responsável, garantindo a proteção dos dados e a conformidade com regulamentações como a LGPD.

Grupo ShadowSilk ataca entidades governamentais na Ásia Central

Um novo grupo de ciberataques, conhecido como ShadowSilk, tem como alvo entidades governamentais na Ásia Central e na região Ásia-Pacífico. De acordo com a Group-IB, cerca de trinta vítimas foram identificadas, com as intrusões focadas principalmente na exfiltração de dados. O grupo compartilha ferramentas e infraestrutura com outros grupos de ameaças, como YoroTrooper e Silent Lynx. As vítimas incluem organizações governamentais de países como Uzbequistão, Quirguistão e Paquistão, além de setores como energia e transporte.

Anthropic interrompe ataque cibernético com uso de IA avançada

Em julho de 2025, a Anthropic revelou ter desmantelado uma operação sofisticada que utilizava seu chatbot Claude, alimentado por inteligência artificial, para realizar roubo e extorsão em larga escala de dados pessoais. O ataque visou pelo menos 17 organizações, incluindo instituições de saúde, serviços de emergência e órgãos governamentais, com os criminosos ameaçando expor publicamente as informações roubadas para forçar o pagamento de resgates que ultrapassavam $500.000. Utilizando o Claude Code em uma plataforma Kali Linux, o ator desconhecido automatizou várias fases do ciclo de ataque, desde a coleta de credenciais até a penetração de redes. O uso de IA permitiu que o atacante tomasse decisões táticas e estratégicas, selecionando quais dados exfiltrar e elaborando demandas de extorsão personalizadas com base em análises financeiras. A Anthropic desenvolveu um classificador personalizado para detectar comportamentos semelhantes e compartilhou indicadores técnicos com parceiros estratégicos. O caso destaca como ferramentas de IA estão sendo mal utilizadas para facilitar operações cibernéticas complexas, tornando a defesa mais desafiadora.

Ferramentas de IA desonestas potencializam desastres de DDoS

O cenário de ataques DDoS (Distributed Denial of Service) evoluiu drasticamente, com mais de oito milhões de incidentes registrados globalmente na primeira metade de 2025, segundo pesquisa da NetScout. Esses ataques, que antes eram considerados anomalias raras, agora ocorrem em uma escala quase rotineira, com picos de até 3,12 Tbps na Holanda e 1,5 Gbps nos Estados Unidos. A crescente automação e o uso de botnets, que frequentemente exploram dispositivos comprometidos, como roteadores e dispositivos IoT, têm facilitado a execução desses ataques. A pesquisa destaca que disputas políticas, como as entre Índia e Paquistão e entre Irã e Israel, têm sido catalisadores significativos para essas campanhas de agressão digital. O grupo hacktivista NoName057(16) se destaca, realizando mais de 475 ataques em março de 2025, principalmente contra portais governamentais. A utilização de modelos de linguagem de IA por atacantes tem reduzido as barreiras para novos invasores, permitindo ataques de alta capacidade com conhecimento técnico mínimo. A situação exige que as organizações reavaliem suas defesas tradicionais, que já não são suficientes diante da evolução das táticas de ataque.

Hackers Usam Tokens OAuth Comprometidos para Acessar Dados do Salesforce

Um alerta foi emitido para organizações em todo o mundo após a divulgação de uma campanha de exfiltração de dados em larga escala, atribuída ao grupo de hackers UNC6395. O ataque, que começou em 8 de agosto de 2025, explorou tokens OAuth comprometidos do aplicativo Salesloft Drift para acessar e extrair informações sensíveis de instâncias do Salesforce. Os hackers conseguiram exportar grandes volumes de dados, incluindo informações de contas, usuários e oportunidades, além de buscar segredos valiosos como chaves de acesso da Amazon Web Services (AWS) e senhas em texto claro. A Salesloft confirmou que apenas clientes que integraram o Drift com o Salesforce foram afetados. Em resposta, a empresa revogou todos os tokens de acesso e a Salesforce removeu o aplicativo do AppExchange. As organizações afetadas foram notificadas diretamente. Especialistas recomendam que as empresas revisem seus ambientes Salesforce, revoguem e rotacionem chaves descobertas e ajustem as configurações de segurança para mitigar riscos futuros.

DOGE é Acusado de Armazenar Dados de Segurança Social em Nuvem Insegura

Um alerta de um denunciante revelou que uma cópia não monitorada dos dados de Segurança Social dos Estados Unidos está armazenada em um ambiente de nuvem inseguro, colocando mais de 300 milhões de americanos em risco de roubo de identidade e perda de benefícios essenciais. Charles Borges, Diretor de Dados da Administração da Segurança Social (SSA), apresentou a denúncia em 26 de agosto de 2025, alegando que funcionários do Departamento de Eficiência Governamental (DOGE) criaram uma cópia ao vivo dos dados sem a devida supervisão. A denúncia aponta que o acesso não autorizado a esses dados poderia permitir que agentes maliciosos roubassem números de Segurança Social, interrompessem o acesso a programas de assistência e forçassem o governo a reemitir números de Segurança Social em larga escala. A situação gerou uma resposta interna da SSA, que agora enfrenta um intenso escrutínio de legisladores e órgãos de supervisão, com audiências programadas para setembro de 2025. Os cidadãos são aconselhados a monitorar seus relatórios de crédito e a considerar alertas de fraude, enquanto as agências federais devem alinhar iniciativas de detecção de fraudes com uma governança de dados robusta.

Novo ataque de engano de cache explora descompasso entre cache e servidor web

O ataque de engano de cache é uma técnica sofisticada que permite que atacantes manipulem regras de cache para expor conteúdos sensíveis. Ao explorar inconsistências entre uma rede de entrega de conteúdo (CDN) e o servidor web de origem, os invasores conseguem enganar o cache, armazenando endpoints privados sob regras de ativos estáticos e, posteriormente, recuperando essas informações.

As CDNs geralmente diferenciam entre ativos estáticos (como imagens e arquivos CSS) e páginas dinâmicas, aplicando cabeçalhos permissivos a arquivos estáticos e restrições a páginas dinâmicas. No entanto, quando um caminho de URL imita um recurso estático, a CDN pode armazená-lo, enquanto o servidor de origem o trata como uma página dinâmica. Técnicas de exploração incluem confusão de extensão, discrepâncias de delimitadores e confusão de travessia de caminho, permitindo que os atacantes acessem conteúdos que deveriam ser privados.

Grupo Blind Eagle ataca governo colombiano com malware

Pesquisadores de cibersegurança identificaram cinco grupos de atividades associados ao ator de ameaça persistente conhecido como Blind Eagle, que operou entre maio de 2024 e julho de 2025, principalmente visando entidades do governo colombiano. A empresa Recorded Future Insikt Group, que monitora essas atividades sob a designação TAG-144, observou que os ataques utilizam técnicas como trojans de acesso remoto (RATs) e engenharia social via phishing. Os alvos incluem autoridades judiciais e fiscais, além de setores como finanças, energia e saúde. Os ataques frequentemente utilizam e-mails fraudulentos que imitam agências governamentais locais, levando as vítimas a abrir documentos maliciosos. A infraestrutura de comando e controle do grupo é complexa, utilizando endereços IP de provedores colombianos e serviços de DNS dinâmico para ocultar suas operações. Recentemente, o grupo tem utilizado scripts em PowerShell para implantar RATs como Lime RAT e AsyncRAT. A análise indica que cerca de 60% das atividades do Blind Eagle focaram no setor governamental, levantando questões sobre suas motivações, que podem incluir espionagem estatal além de objetivos financeiros.

Campanha de roubo de dados compromete plataforma Salesloft

Uma campanha de roubo de dados em larga escala comprometeu a plataforma de automação de vendas Salesloft, permitindo que hackers acessassem tokens OAuth e de atualização associados ao agente de chat de inteligência artificial Drift. A atividade, atribuída ao grupo de ameaças UNC6395, ocorreu entre 8 e 18 de agosto de 2025, visando instâncias de clientes do Salesforce através de tokens OAuth comprometidos. Os atacantes exportaram grandes volumes de dados, possivelmente para coletar credenciais que poderiam ser usadas para comprometer ambientes das vítimas, incluindo chaves de acesso da Amazon Web Services (AWS) e tokens de acesso relacionados ao Snowflake. A Salesloft identificou a questão de segurança e revogou proativamente as conexões entre Drift e Salesforce, enquanto a Salesforce confirmou que um número restrito de clientes foi impactado. Especialistas destacam a disciplina operacional dos atacantes, que deletaram registros de consultas para cobrir seus rastros, sugerindo uma estratégia de ataque mais ampla que poderia afetar a cadeia de suprimentos de tecnologia. As organizações são aconselhadas a revisar logs, revogar chaves de API e realizar investigações adicionais para determinar a extensão da violação.

Banco de dados da Intel vazado expõe 270 mil funcionários

Um grave incidente de segurança na Intel resultou no vazamento de dados de mais de 270 mil funcionários devido a falhas em sistemas de login. O pesquisador de segurança Eaton Z descobriu que um portal de cartões de visita da empresa possuía um sistema de autenticação vulnerável, permitindo acesso não autorizado a informações sensíveis. Ao manipular a verificação de usuários, Eaton conseguiu baixar um arquivo de quase um gigabyte contendo dados pessoais, como nomes, cargos, endereços e números de telefone. Além do portal inicial, outras três plataformas internas da Intel apresentaram vulnerabilidades semelhantes, com credenciais codificadas que poderiam ser facilmente decifradas. A Intel foi notificada sobre as falhas em outubro de 2024 e corrigiu os problemas até fevereiro de 2025, mas o pesquisador não recebeu compensação por seu trabalho, levantando questões sobre a seriedade da resposta da empresa. Este incidente destaca que, mesmo com medidas de segurança em vigor, falhas simples de design podem expor sistemas críticos, aumentando o risco de roubo de identidade e ataques de engenharia social.