Cibersegurança

Microsoft corrige 206 vulnerabilidades de segurança em seu software

Em 10 de junho de 2026, a Microsoft lançou atualizações para corrigir um total recorde de 206 vulnerabilidades de segurança em seu portfólio de software. Dentre essas falhas, 39 foram classificadas como Críticas e 167 como Importantes. As vulnerabilidades incluem problemas de escalonamento de privilégios, execução remota de código e divulgação de informações. A falha mais crítica, CVE-2026-45657, com uma pontuação CVSS de 9.8, permite que atacantes executem código remotamente ao enviar tráfego de rede malicioso para sistemas vulneráveis. Outras falhas significativas incluem CVE-2026-47291 e CVE-2026-44815, ambas com pontuação 9.8, que podem resultar em execução de código não autorizado. Além disso, a Microsoft abordou vulnerabilidades relacionadas ao BitLocker e problemas de negação de serviço. O aumento no número de correções é atribuído ao uso de inteligência artificial na descoberta de vulnerabilidades, uma tendência que deve continuar. Especialistas alertam que a rápida liberação de patches pode levantar preocupações sobre a qualidade das correções. As atualizações são essenciais para proteger sistemas, especialmente aqueles que lidam com tráfego DHCP, que é crítico para a infraestrutura de rede.

A IA está mudando rapidamente a cibersegurança BT se junta ao Projeto Glasswing

A BT se tornou a primeira empresa do Reino Unido a se juntar ao Projeto Glasswing da Anthropic, uma iniciativa de cibersegurança que oferece acesso ao modelo avançado de segurança cibernética, Claude Mythos Preview. O anúncio foi feito durante a Cúpula de Adoção de IA do Governo do Reino Unido, onde a CEO da BT, Allison Kirkby, destacou que essa parceria ajudará a proteger tanto as redes da empresa quanto os sistemas de seus clientes contra ataques cibernéticos cada vez mais sofisticados. O modelo Claude Mythos Preview já identificou milhares de vulnerabilidades críticas em sistemas operacionais e navegadores, mas ainda não está disponível ao público devido a preocupações sobre seu uso indevido. A BT, que já bloqueia quatro milhões de ataques diariamente, espera que a adesão ao projeto fortaleça sua capacidade de cibersegurança. O Projeto Glasswing foi lançado em abril de 2026 e, desde então, expandiu seu acesso a mais de 150 organizações em 15 países, incluindo telecomunicações, energia e saúde. A Anthropic também está em discussões com autoridades governamentais dos EUA sobre como o modelo pode ajudar em estratégias ofensivas e defensivas. A expectativa é que desenvolvedores possam acessar modelos semelhantes dentro de seis a doze meses, com as devidas salvaguardas.

Anthropic lança modelo Fable com novas salvaguardas de segurança

A Anthropic anunciou o lançamento do modelo Fable, uma versão mais segura de seu modelo anterior, Mythos, que apresentava riscos significativos de segurança para empresas em todo o mundo. O modelo Mythos, considerado um dos mais poderosos da empresa, poderia ser utilizado por agentes maliciosos para atacar softwares públicos e privados, levando a Anthropic a restringir seu acesso apenas a especialistas em cibersegurança e empresas confiáveis. O novo modelo Fable 5 vem com salvaguardas rigorosas que desviam consultas sensíveis para um modelo anterior, Opus 4.8, e está disponível gratuitamente por tempo limitado, embora consuma tokens rapidamente, tornando-o caro para uso contínuo. A empresa observa que, enquanto Fable 5 é acessível a um grupo restrito de parceiros confiáveis, a versão sem restrições, Claude Mythos 5, só será disponibilizada a defensores cibernéticos do governo e pesquisadores de ciências da vida. A Anthropic enfatiza que, embora o modelo Fable 5 seja mais seguro, seu uso intensivo de recursos computacionais limita sua acessibilidade em comparação com modelos anteriores. A empresa também alerta que, se não forem cuidadosos, laboratórios de ponta podem inadvertidamente permitir que atacantes se aproveitem dessas ferramentas poderosas.

Vulnerabilidades críticas no protobuf.js podem causar execução remota de código

Pesquisadores de cibersegurança identificaram seis vulnerabilidades no protobuf.js, uma implementação em JavaScript e TypeScript do Protocol Buffers, que podem levar a execução remota de código (RCE) e ataques de negação de serviço (DoS). As falhas, conhecidas como Proto6, afetam aplicações Node.js que utilizam protobuf.js, bibliotecas de cliente do Google Cloud e frameworks de mensagens como Baileys. As vulnerabilidades incluem a CVE-2026-44289, que permite DoS através de recursão não limitada, e a CVE-2026-44291, que possibilita a execução de código após poluição de protótipos. A exploração dessas falhas pode ocorrer em ambientes onde um esquema protobuf malicioso é introduzido, comprometendo fluxos de trabalho de CI/CD e serviços Node.js. As versões vulneráveis do protobuf.js incluem até a 7.5.5 e entre 8.0.0 e 8.0.1. Patches já estão disponíveis, e os usuários são aconselhados a atualizá-los para evitar possíveis ameaças. A Cyera alerta que a exploração bem-sucedida pode impactar significativamente cargas de trabalho sensíveis em empresas, especialmente em ecossistemas de dados e IA que trocam informações frequentemente.

Pesquisador revela exploit zero-day no Microsoft Defender

Um pesquisador de segurança, conhecido como Chaotic Eclipse, divulgou um exploit de prova de conceito (PoC) para uma vulnerabilidade zero-day no Microsoft Defender, chamada RoguePlanet. O exploit é uma condição de corrida, resultando em acesso com privilégios de sistema, permitindo que atacantes executem código arbitrário. Testado em máquinas com Windows 10 e 11, o exploit mostrou uma taxa de sucesso de 100% em alguns dispositivos, mas não funciona em instâncias do Windows Server. O pesquisador expressou frustração com a forma como a Microsoft lidou com a divulgação de vulnerabilidades, alegando falta de comunicação e revogação de acesso ao Microsoft Security Response Center (MSRC). A Microsoft, por sua vez, condenou as divulgações públicas, afirmando que colocam os clientes em risco. Este exploit é parte de uma série de falhas descobertas por Chaotic Eclipse, que incluem BlueHammer e UnDefend. A situação gerou um conflito público entre o pesquisador e a Microsoft, levando à remoção de suas contas no GitHub e GitLab. A vulnerabilidade representa um risco significativo, especialmente considerando que já foi explorada ativamente.

ServiceNow alerta sobre falha de segurança em instâncias de clientes

A ServiceNow divulgou um alerta sobre um incidente de segurança em que atores desconhecidos exploraram uma vulnerabilidade para obter acesso não autorizado a instâncias vulneráveis. Em 5 de junho de 2026, a empresa aplicou uma atualização de segurança em suas instâncias hospedadas, visando um problema que poderia permitir que um usuário não autenticado, em certas circunstâncias, tivesse acesso maior do que o pretendido. A atualização altera a configuração de um endpoint para restringir esse acesso apenas a usuários autenticados. Até o momento, a falha de segurança não possui um identificador CVE. A ServiceNow detectou atividades anômalas relacionadas a essa questão e observou consultas bem-sucedidas em tabelas de instâncias de um subconjunto de clientes, que já foram notificados. A vulnerabilidade afeta clientes na plataforma Australia ou aqueles que realizaram certas alterações de configuração em versões anteriores. Um usuário no Reddit alegou que a equipe de segurança da ServiceNow havia reportado a vulnerabilidade internamente desde 7 de abril de 2026, mas a empresa a classificou como não urgente até então. A situação continua em desenvolvimento, e mais detalhes podem surgir.

Simulação de phishing revela vulnerabilidades em agentes de IA

Uma simulação de phishing realizada com o agente de e-mail OpenClaw, desenvolvido pela empresa de segurança Varonis, revelou que esses agentes de inteligência artificial (IA) são suscetíveis a táticas comuns de phishing que têm enganado usuários humanos por décadas. O OpenClaw, uma estrutura de código aberto que permite que modelos de linguagem interajam com sistemas do mundo real, foi conectado a uma caixa de entrada do Gmail e a várias APIs do Google Workspace, utilizando dados sintéticos de uma empresa fictícia, incluindo credenciais sensíveis.

Veeam lança patches de segurança para falha crítica em software de backup

A Veeam, empresa especializada em soluções de backup e recuperação, anunciou a liberação de patches de segurança para corrigir uma vulnerabilidade crítica em seu software Backup & Replication, identificada como CVE-2026-44963. Essa falha, que possui uma pontuação CVSS de 9.4, permite a execução remota de código (RCE) por um usuário autenticado no domínio. A vulnerabilidade afeta a versão 12.3.2.4465 e todas as versões anteriores da linha 12, mas não impacta as versões 13.x, que passaram por mudanças arquitetônicas. A correção foi implementada na versão 12.3.2.4854. Em março de 2026, a Veeam já havia resolvido outras vulnerabilidades críticas que poderiam ser exploradas para RCE, destacando a importância de manter o software atualizado, especialmente em um cenário onde grupos de ransomware têm se aproveitado de falhas conhecidas. Os usuários são fortemente aconselhados a atualizar para a versão mais recente para garantir a segurança de seus dados.

Microsoft remove repositórios do GitHub após ataque cibernético

Em 5 de junho, a Microsoft retirou 73 repositórios de suas organizações no GitHub, incluindo Azure e MicrosoftDocs, devido a preocupações com a distribuição de ‘conteúdo potencialmente malicioso’. O incidente, que durou apenas 105 segundos, foi resultado de uma campanha de ataque à cadeia de suprimentos chamada Miasma/Shai-Hulud. Pesquisadores confirmaram que o repositório ‘durabletask’ foi comprometido em maio, permitindo que o ator de ameaça retornasse com uma nova violação. Após a remoção, uma mensagem indicou que a ação foi tomada por violação dos termos de serviço do GitHub. O impacto imediato foi a desativação do acesso ao ‘Azure/functions-action’, uma ferramenta utilizada por desenvolvedores para implantar funções no Azure, causando interrupções em fluxos de trabalho. Embora todos os repositórios tenham sido restaurados e considerados seguros, a Microsoft notificou alguns clientes que podem ter baixado conteúdo dos repositórios afetados. A empresa continua a investigar o incidente, que também está ligado a uma campanha que comprometeu pacotes npm da Red Hat. Especialistas recomendam que desenvolvedores adotem medidas de segurança, como bloqueio de dependências de projetos e testes em ambientes isolados.

Avaliação do Mythos Preview Avanços em Cibersegurança

Recentemente, a equipe da XBOW teve acesso antecipado ao Mythos Preview, um novo modelo de inteligência artificial desenvolvido pela Anthropic, que promete uma evolução significativa na identificação de vulnerabilidades em códigos-fonte. Os testes realizados revelaram que o Mythos Preview é especialmente eficaz na análise de códigos, apresentando uma precisão técnica notável e um desempenho superior em comparação com modelos anteriores, como o Opus 4.6 e o GPT 5.5. Durante a avaliação, o modelo demonstrou uma capacidade impressionante de identificar candidatos a vulnerabilidades, especialmente quando o código-fonte estava disponível, e se destacou em áreas complexas como análise de código nativo e engenharia reversa.

Google corrige 74 vulnerabilidades no Chrome, incluindo uma crítica

O Google lançou atualizações de segurança para corrigir 74 vulnerabilidades no Chrome, sendo uma delas, a CVE-2026-11645, de alta severidade, com um CVSS de 8.8. Essa falha, que permite acesso à memória fora dos limites no motor V8 do Chrome, pode ser explorada por atacantes remotos para executar código arbitrário através de páginas HTML manipuladas. O pesquisador que descobriu a vulnerabilidade, identificado como ‘303f06e3’, recebeu uma recompensa de US$ 55.000 pela divulgação responsável. O Google confirmou que a exploração dessa vulnerabilidade já está ocorrendo ativamente. Desde o início do ano, a empresa já tratou cinco vulnerabilidades zero-day no Chrome. Para garantir a proteção, os usuários devem atualizar seus navegadores para as versões 149.0.7827.102/.103 no Windows e macOS, e 149.0.7827.102 no Linux. Além disso, usuários de navegadores baseados em Chromium, como Microsoft Edge e Brave, também devem aplicar as correções assim que disponíveis.

Pesquisadores desenvolvem verme de computador autônomo com IA

Pesquisadores da Universidade de Toronto criaram um verme de computador autônomo que utiliza um modelo de linguagem de código aberto para navegar por redes, gerar estratégias de ataque personalizadas e se replicar sem intervenção humana. O estudo, que está em revisão por pares, revela que a abordagem tradicional de correção de vulnerabilidades (CVE) falha quando o malware pode inspecionar serviços expostos e gerar novos caminhos de ataque em tempo real. Em testes realizados em uma rede vulnerável de 33 hosts, o verme identificou em média 31,3 vulnerabilidades e obteve acesso elevado em 23,1 hosts, replicando-se em 62% deles ao longo de sete dias. Diferente dos vermes tradicionais, que dependem de cargas de exploração fixas, este verme gera lógica de ataque em tempo real, adaptando-se a cada alvo encontrado. O estudo destaca a dificuldade de contenção, uma vez que o custo de execução do ataque é transferido para a infraestrutura comprometida, e não há dependência de APIs comerciais que poderiam ser limitadas ou revogadas. Os pesquisadores também observaram que o verme reescreveu seu próprio código para contornar controles de segurança locais, o que representa um avanço significativo nas capacidades de malware autônomo.

Campanhas de ciberataques da Rússia exploram falha no WinRAR

Duas campanhas de ciberataques alinhadas à Rússia continuam a explorar uma vulnerabilidade no WinRAR para atacar organizações ucranianas, quase um ano após a liberação de patches para a falha. A Trend Micro atribui essas atividades aos grupos Earth Dahu e SHADOW-EARTH-066, que utilizam a falha CVE-2025-8088, uma vulnerabilidade de travessia de caminho que permite que atacantes escrevam arquivos fora do diretório de extração. O exploit mais recente envolve arquivos RAR manipulados que contêm um documento PDF de isca e três cargas úteis ocultas. Uma das cargas é um arquivo de atalho do Windows que é executado automaticamente na inicialização do sistema, permitindo que um loader PowerShell seja ativado. O malware resultante, chamado GIFTEDCROOK, visa roubar senhas e cookies de navegadores populares, além de documentos específicos do sistema da vítima. A mudança no canal de exfiltração de dados, que passou do Telegram para servidores dedicados de comando e controle, reflete a adaptação dos grupos de ataque às novas restrições. A Earth Dahu, por sua vez, tem utilizado a vulnerabilidade para manter acesso a longo prazo em organizações comprometidas, utilizando uma cadeia de infecção que envolve scripts VBScript. A prevalência do WinRAR em operações diárias torna essa vulnerabilidade um alvo atraente para exploração, destacando a gravidade das ameaças cibernéticas enfrentadas pela Ucrânia.

Microsoft remove repositórios do GitHub após comprometimento de projetos

A Microsoft confirmou a remoção temporária de alguns repositórios do GitHub devido a um incidente de segurança que comprometeu 73 de seus projetos de código aberto. O ataque, parte de uma campanha de cadeia de suprimentos de software chamada Miasma, resultou na injeção de um ladrão de informações no código. A empresa notificou um número restrito de clientes que podem ter baixado conteúdo dos repositórios afetados e está investigando o incidente. Entre os projetos comprometidos está o pacote Python ‘durabletask’, que foi inicialmente atacado por um grupo de cibercrime conhecido como TeamPCP. A análise do payload Miasma revelou que ele pode executar código automaticamente quando um desenvolvedor abre o repositório em ferramentas de codificação baseadas em inteligência artificial. Essa campanha de ataque tem se mostrado adaptável, utilizando novos métodos de entrega de payloads, como extensões nativas Trojanizadas e variantes de carregadores que dificultam a detecção. O malware tem como alvo estações de trabalho de desenvolvedores e ambientes CI/CD, coletando segredos valiosos e exfiltrando-os para repositórios públicos do GitHub. A situação destaca a crescente complexidade e os riscos associados à segurança de software na cadeia de suprimentos.

Windscribe agora aceita pagamentos em dinheiro por assinaturas de VPN

A Windscribe, provedora canadense de VPN, anunciou que agora aceita pagamentos em dinheiro para sua assinatura Pro de um ano, que custa 69 dólares. Essa opção visa oferecer total anonimato financeiro aos usuários, evitando o rastreamento comum associado a métodos digitais, como cartões de crédito ou PayPal. No entanto, a empresa alerta que essa é a forma mais lenta e arriscada de pagamento, já que o envio de dinheiro físico pode resultar em perdas, atrasos ou danos durante o transporte. Windscribe recomenda que a maioria dos usuários continue utilizando métodos digitais, destacando que a opção de pagamento em dinheiro é destinada a um pequeno grupo que realmente precisa de privacidade total. Além disso, os pagamentos em dinheiro são limitados a assinaturas anuais e não são reembolsáveis, o que aumenta o risco para o consumidor. Apesar das vantagens de privacidade, a empresa enfatiza que a maioria dos usuários deve optar por métodos mais seguros e rápidos para proteger sua identidade online.

Hackers comprometem plataforma de mensagens do governo francês

A DINUM, diretoria de assuntos digitais do governo francês, alertou sobre uma violação na plataforma de mensagens criptografadas Tchap, utilizada exclusivamente pelo setor público da França. O incidente ocorreu quando um ator de ameaça obteve acesso à plataforma através de uma conta de usuário comprometida. A Tchap, desenvolvida em 2018 em colaboração com a ANSSI, já conta com mais de 300 mil usuários mensais e foi adotada como a única ferramenta de comunicação para servidores públicos após um decreto do Primeiro-Ministro François Bayrou em agosto de 2025. A ANSSI detectou a violação e notificou a CNIL, a autoridade de proteção de dados da França, devido à possível exposição de dados pessoais. O invasor alegou ter realizado um ataque de engenharia social e, segundo suas declarações, obteve acesso a 13,5 GB de documentos e informações de mais de 73 mil contas, incluindo e-mails e metadados. A DINUM bloqueou a conta responsável e continua a investigação para entender a extensão da violação e os dados acessados. O incidente destaca a importância de manter a segurança em plataformas de comunicação, especialmente em ambientes governamentais.

Campanha Hades ataca repositórios do PyPI com malware

A campanha de ataque à cadeia de suprimentos conhecida como Hades, originada da Miasma, identificou 37 artefatos maliciosos em 19 pacotes do Python Package Index (PyPI). Esses pacotes comprometidos incluem versões de bibliotecas como bramin, cmd2func e coolbox, que contêm um arquivo *-setup.pth. Este arquivo é executado automaticamente durante a inicialização do Python, permitindo que o malware baixe e execute um runtime JavaScript chamado Bun, além de um payload ofuscado. O malware é projetado para roubar credenciais de desenvolvedores e informações sensíveis de sistemas, incluindo segredos de plataformas como GitHub, AWS e Docker. A nova abordagem do Hades inclui técnicas de evasão de segurança, como a injeção de prompts em ferramentas de análise de pacotes baseadas em IA, e a extração de dados de repositórios do GitHub. A campanha representa uma evolução nas táticas de ataque, utilizando métodos que não requerem a importação do pacote comprometido, aumentando o risco para desenvolvedores e suas organizações. A segurança da cadeia de suprimentos de software é, portanto, uma preocupação crescente, especialmente em um cenário onde as contas de desenvolvedores podem ser comprometidas e usadas para disseminar malware.

Ataque FROST Site malicioso pode rastrear suas atividades online

Um novo ataque cibernético, denominado FROST, foi desenvolvido por pesquisadores da Universidade de Tecnologia de Graz e pode identificar quais sites um usuário visita e quais aplicativos ele abre, utilizando apenas JavaScript e o tempo de resposta do SSD. O ataque explora uma funcionalidade de armazenamento chamada Origin Private File System (OPFS), introduzida em 2023, que permite que aplicativos web mantenham arquivos no disco sem a necessidade de permissões usuais. Ao criar um arquivo maior que a memória RAM do dispositivo, o FROST consegue contornar o cache do sistema operacional, fazendo com que as leituras acessem diretamente o SSD. Isso permite que o código malicioso meça o tempo de leitura e identifique atividades concorrentes, como a abertura de sites ou aplicativos, com uma precisão alarmante de até 95,83% em testes. Embora a técnica ainda não tenha sido observada em ataques reais, a falta de respostas adequadas por parte dos desenvolvedores de navegadores, como Google e Mozilla, levanta preocupações sobre a privacidade e a segurança dos usuários. Para se proteger, recomenda-se fechar a aba do navegador quando não estiver em uso e monitorar o armazenamento do navegador em busca de arquivos grandes e inexplicáveis.

Hackers comprometem pacotes do PyPI em ataque à cadeia de suprimentos

Um novo ataque à cadeia de suprimentos, denominado Shai-Hulud, comprometeu 19 pacotes populares do PyPI, que foram baixados centenas de milhares de vezes. Entre os pacotes afetados estão ferramentas de bioinformática como Dynamo e Napari-UFISH. A empresa de segurança Socket identificou 37 versões maliciosas que incluíam um arquivo ‘*-setup.pth’ e um payload JavaScript ofuscado chamado ‘_index.js’. Ao iniciar o Python, o arquivo PTH é executado, o que pode levar ao download do runtime JavaScript Bun do GitHub para executar o script malicioso. O ataque visa roubar segredos de desenvolvedores, incluindo tokens do GitHub, credenciais de serviços em nuvem e históricos de shell. A exfiltração de dados é realizada através de repositórios do GitHub e uma API da Anthropic, que serve como camuflagem. A Socket recomenda que as organizações afetadas rotacionem suas credenciais e restauram seus ambientes a partir de backups seguros. Os defensores devem estar atentos a pacotes Python com hooks executáveis e downloads inesperados do Bun.

Google corrige vulnerabilidade crítica do Chrome explorada na web

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade zero-day no Chrome, identificada como CVE-2026-11645, que estava sendo explorada ativamente. Essa é a quinta falha desse tipo corrigida pela empresa em 2023. A vulnerabilidade, que afeta o motor JavaScript V8 do Chrome, permite que atacantes remotos executem código arbitrário através de páginas HTML manipuladas, comprometendo a segurança do navegador. A atualização já está disponível para usuários de Windows, Mac e Linux, embora o Google tenha alertado que a distribuição completa pode levar dias ou semanas. Além disso, a empresa está ciente de outras vulnerabilidades zero-day, como a CVE-2024-0519, mas não forneceu detalhes adicionais sobre ataques relacionados. Desde o início do ano, o Google já corrigiu outras quatro falhas críticas, destacando a necessidade de vigilância constante em relação à segurança do navegador. Os usuários são incentivados a atualizar manualmente ou confiar na atualização automática do Chrome para garantir a proteção contra essas ameaças.

CISA alerta sobre vulnerabilidade crítica no BerriAI LiteLLM

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no BerriAI LiteLLM em seu catálogo de Vulnerabilidades Conhecidas (KEV), devido a evidências de exploração ativa. A falha, identificada como CVE-2026-42271, possui uma pontuação CVSS de 8.7 e permite que usuários autenticados executem comandos arbitrários no host. A vulnerabilidade afeta versões específicas do pacote Python LiteLLM, onde dois endpoints de teste aceitam configurações completas do servidor, possibilitando a execução de comandos como subprocessos no host proxy. Os mantenedores do LiteLLM informaram que a segurança dos endpoints dependia apenas de uma chave de API válida, permitindo que qualquer usuário autenticado, incluindo aqueles com privilégios elevados, executasse comandos arbitrários. Para mitigar a falha, foi lançada uma atualização (versão 1.83.7) que exige o papel PROXY_ADMIN para acessar os endpoints. Além disso, uma cadeia de exploração foi identificada, combinando essa vulnerabilidade com outra (CVE-2026-48710), resultando em uma pontuação CVSS crítica de 10.0, permitindo a execução remota de código sem autenticação. Os usuários são aconselhados a atualizar imediatamente suas versões do LiteLLM e Starlette, além de implementar medidas de mitigação se a atualização não for viável.

WhatsApp interrompe campanhas de spear-phishing do NSO Group

O WhatsApp anunciou a interrupção de campanhas de spear-phishing supostamente conduzidas pelo NSO Group, uma empresa israelense de spyware conhecida por seu software Pegasus. Este tipo de ataque visa enganar usuários a clicarem em links maliciosos que redirecionam para sites externos. O NSO Group, que está na lista de entidades sancionadas dos EUA desde novembro de 2021, já foi alvo de ações judiciais da Meta, controladora do WhatsApp, resultando em uma liminar permanente contra a empresa e uma multa de 167 milhões de dólares. Apesar das ações legais, o NSO continuou a atacar usuários do WhatsApp, utilizando vulnerabilidades zero-day. A Meta identificou e removeu contas de teste criadas pelo grupo e listou domínios associados aos ataques, como ikhwancast.com e ghazacast.com. Embora o WhatsApp utilize criptografia de ponta a ponta para proteger mensagens, a empresa recomenda que os usuários atualizem seus aplicativos e sistemas operacionais para garantir a segurança. Além disso, sugere que usuários de Android ativem a ‘Proteção Avançada’ e usuários de iOS habilitem o ‘Modo de Bloqueio’ para aumentar a proteção contra spyware.

Apple anuncia recurso de IA para corrigir senhas fracas automaticamente

Durante a WWDC 2026, a Apple revelou uma nova funcionalidade impulsionada por inteligência artificial que promete corrigir automaticamente senhas fracas e comprometidas. Atualmente, o Safari e o aplicativo de Senhas da Apple já conseguem identificar senhas fracas, duplicadas ou comprometidas, mas não realizam correções automáticas. Com a atualização para o iOS 27, essa nova funcionalidade permitirá que o gerenciador de senhas da Apple atue de forma ‘agencial’, ajustando senhas com base no comportamento do usuário. A Apple garante que essa tecnologia é segura e respeita a privacidade, utilizando modelos de fundação desenvolvidos em colaboração com o Google, que operam tanto localmente quanto na nuvem, sem armazenar dados pessoais. A empresa enfatiza que a nova arquitetura da Apple Intelligence foi projetada com foco na privacidade, assegurando que os dados dos usuários não sejam acessíveis a terceiros. A funcionalidade estará disponível para os usuários que se inscreverem no Programa de Desenvolvedores e também será lançada para o público geral com o iOS 27 ainda este ano.

SoFi Hong Kong alerta sobre violação de dados de clientes

A SoFi Hong Kong, uma empresa de tecnologia financeira baseada nos EUA, anunciou que sofreu uma violação de dados após hackers acessarem um banco de dados de um fornecedor terceirizado contendo informações de clientes. O incidente foi descoberto em 30 de abril de 2026, quando a empresa detectou acesso não autorizado ao banco de dados da SoFi Securities (Hong Kong) Limited. Em comunicado enviado aos clientes, a SoFi informou que a investigação está em andamento e que ainda não é possível determinar quais dados específicos podem ter sido expostos. A empresa alertou os clientes para ficarem atentos a tentativas de phishing e atividades suspeitas em suas contas. Além disso, recomendou que os usuários atualizassem suas senhas e ativassem a autenticação em duas etapas. A SoFi também implementou medidas adicionais de segurança e monitoramento nas contas afetadas. Para mais informações, a empresa disponibilizou uma linha de suporte e um endereço de e-mail para os clientes que buscam esclarecimentos.

Plaza Home Mortgage confirma violação de dados que afeta quase 138 mil pessoas

A Plaza Home Mortgage notificou 137.976 pessoas sobre uma violação de dados ocorrida em fevereiro de 2026, onde informações pessoais sensíveis foram comprometidas. Os dados expostos incluem números de Seguro Social, informações sobre aplicações e serviços de empréstimos hipotecários, identificações emitidas pelo governo, como carteiras de motorista, e datas de nascimento. O grupo criminoso Silent Ransom Group reivindicou a responsabilidade pelo ataque em 22 de março de 2026, embora a Plaza não tenha confirmado essa alegação. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas da violação. Este incidente é parte de uma tendência crescente de ataques de ransomware que visam empresas do setor financeiro nos Estados Unidos, com 10 ataques confirmados em 2026 até o momento, resultando na exposição de 304.000 registros. O ataque à Plaza é o segundo maior do ano em termos de dados comprometidos, atrás apenas de um incidente que afetou a Beacon Mutual Insurance Company. A segurança das informações e a proteção de dados pessoais são preocupações crescentes, especialmente em um contexto onde a conformidade com a LGPD é essencial.

Desafios da Cibersegurança e a Solução Wazuh Cloud

As equipes de segurança enfrentam ambientes cada vez mais complexos, onde ameaças como ransomware e ataques à cadeia de suprimentos evoluem rapidamente. A gestão de infraestruturas híbridas, que incluem sistemas locais e plataformas em nuvem, torna-se um desafio, especialmente com a necessidade de conformidade com normas rigorosas como PCI DSS e GDPR. Os Centros de Operações de Segurança (SOCs) recebem milhares de alertas diariamente, muitos dos quais são falsos positivos, levando a um desgaste significativo dos analistas e a lacunas de segurança exploráveis. O Wazuh Cloud surge como uma solução gerenciada e nativa da nuvem, que visa simplificar operações através de automação e análise inteligente. Com um tempo de implantação reduzido, manutenção zero e escalabilidade automática, o Wazuh Cloud permite que as equipes de segurança se concentrem na proteção de ativos críticos em tempo real. A plataforma oferece uma análise de segurança automatizada que reduz a carga cognitiva dos analistas, melhorando a eficiência operacional e a precisão na detecção de ameaças. Assim, o Wazuh Cloud se apresenta como uma alternativa viável para organizações que buscam fortalecer sua postura de segurança sem os desafios associados à gestão de infraestrutura.

Gogs corrige falha crítica que permite acesso a repositórios privados

A plataforma Gogs, uma alternativa ao GitHub Enterprise, corrigiu uma vulnerabilidade crítica de injeção de argumentos que poderia permitir que atacantes autenticados acessassem repositórios, incluindo os privados. A falha, que ainda não possui um ID CVE, afeta todas as versões do Gogs até a 0.14.2 e 0.15.0+dev. De acordo com o pesquisador de segurança Jonah Burgess, a configuração padrão do Gogs, que permite registro aberto de usuários e sem limite na criação de repositórios, facilita a exploração da vulnerabilidade. Um atacante autenticado poderia criar uma conta, um repositório e ativar a mesclagem rebase, permitindo a execução de um ataque sem interação de outros usuários. A Gogs lançou a versão 0.14.3 em 7 de junho para corrigir a falha e recomenda que todos os usuários atualizem imediatamente. Para aqueles que não podem aplicar o patch, a Rapid7 sugere medidas de mitigação, como restringir o registro de usuários e a criação de repositórios. A falha é semelhante a outras já corrigidas pela equipe de segurança do Gogs, mas afeta um caminho de código diferente que não havia sido abordado anteriormente.

Ataques Cibernéticos e Vulnerabilidades O Que Aconteceu na Última Semana

Na última semana, o cenário de cibersegurança foi marcado por incidentes significativos, incluindo o ataque do Miasma Worm a 73 repositórios do GitHub da Microsoft, que levou a empresa a desabilitar o acesso a essas áreas. Além disso, a Google lançou patches para 124 vulnerabilidades no Android, incluindo uma falha crítica (CVE-2025-48595) que está sendo ativamente explorada, permitindo escalonamento de privilégios sem interação do usuário. O Departamento de Justiça dos EUA também anunciou a desarticulação de esquemas de fraude cibernética, resultando na remoção de milhões de contas usadas por grupos criminosos. Outro destaque foi a espionagem de um executivo de uma bolsa de valores, que teve seu e-mail monitorado por cinco meses, levantando preocupações sobre a segurança de dados sensíveis. Por fim, um novo grupo de cibercrime ligado à China, TA4922, expandiu suas operações para a Europa e África, utilizando táticas variadas de ataque. Esses eventos ressaltam a necessidade urgente de vigilância e atualização de sistemas de segurança, especialmente em um ambiente onde as ameaças estão se tornando cada vez mais sofisticadas e rápidas.

Vulnerabilidade crítica em VPNs da Check Point é explorada ativamente

A Check Point alertou sobre a exploração ativa de uma vulnerabilidade crítica, identificada como CVE-2026-50751, que afeta implementações de VPN de Acesso Remoto e Acesso Móvel configuradas para usar o protocolo de troca de chaves IKEv1, já obsoleto. Com uma pontuação CVSS de 9.3, a falha permite que um atacante remoto não autenticado contorne a autenticação de usuários e estabeleça uma conexão VPN sem a necessidade de uma senha válida. Os produtos afetados incluem várias versões de Security Gateways e Spark Firewalls, com a exploração sendo observada desde 7 de maio de 2026, e um aumento significativo nas atividades de exploração a partir de junho. A Check Point identificou que a infraestrutura do ator de ameaças está explorando outras vulnerabilidades relacionadas a VPNs, e que a atividade se limita a algumas dezenas de organizações globalmente. Além disso, uma segunda vulnerabilidade, CVE-2026-50752, foi descoberta, permitindo ataques do tipo adversário-no-meio em conexões VPN site-a-site, embora não haja evidências de exploração real. A situação requer atenção imediata das organizações afetadas para evitar comprometimentos de segurança.

Meta bloqueia tentativas de phishing ligadas ao NSO Group

Na última segunda-feira, a Meta anunciou a detecção e bloqueio de tentativas de spear-phishing associadas ao grupo de spyware israelense NSO Group. A empresa também informou que está movendo uma ação judicial federal contra a NSO por violar uma ordem judicial permanente que proíbe a empresa de direcionar ataques ao WhatsApp e seus usuários. As tentativas de phishing buscavam enganar os usuários para que clicassem em links maliciosos, levando-os a sites externos, semelhante a campanhas de phishing de um clique já relatadas anteriormente. Além disso, a Meta identificou a criação de contas de teste e grupos no WhatsApp pela NSO, que foram removidos. A Meta listou domínios maliciosos associados a essas atividades, como fr24cast.com e ghazacast.com. Este incidente ocorre um ano após a NSO ser multada em cerca de 168 milhões de dólares por violar leis dos EUA ao explorar servidores do WhatsApp para implantar o spyware Pegasus, que visava mais de 1.400 indivíduos globalmente. A Meta reafirmou que as mensagens e chamadas dos usuários do WhatsApp permanecem protegidas por criptografia de ponta a ponta e recomendou que os usuários mantenham seus aplicativos atualizados e relatem atividades suspeitas. Para aqueles que podem estar em risco elevado de ataques cibernéticos, a Meta sugere a ativação de configurações de conta rigorosas para aumentar a segurança.

Universidade de Oxford revela nova violação de dados

Na última semana, a Universidade de Oxford anunciou uma violação de dados em sua plataforma CareerConnect, após ser informada pelo fornecedor terceirizado Group GTI sobre o comprometimento do sistema. O ataque ocorreu em 28 de maio e resultou no acesso não autorizado a nomes, sobrenomes, endereços de e-mail e senhas criptografadas de usuários que não utilizam o sistema de autenticação Single Sign-On (SSO). Embora a universidade tenha garantido que não há evidências de que informações de cursos, arquivos carregados ou dados financeiros tenham sido afetados, alertou sobre a possibilidade de tentativas de phishing direcionadas a alunos e funcionários. Este é o segundo incidente de segurança relatado pela universidade em 2023, após uma violação anterior relacionada ao sistema Canvas, que expôs dados de 280 milhões de registros de instituições educacionais em todo o mundo. A universidade enfatizou que seus sistemas não foram comprometidos e que as senhas dos usuários afetados foram invalidadas, exigindo que os mesmos realizem a redefinição de suas senhas na próxima vez que acessarem a plataforma.

Falha crítica em VPNs da Check Point expõe organizações a ataques

A empresa israelense de cibersegurança Check Point divulgou atualizações de segurança para corrigir uma falha crítica, identificada como CVE-2026-50751, que afeta implementações de VPN de Acesso Remoto e Acesso Móvel. Essa vulnerabilidade permite que atacantes remotos não autenticados contornem a autenticação em VPNs e firewalls da Check Point, estabelecendo conexões de acesso remoto. A falha impacta apenas as configurações que utilizam o protocolo de troca de chaves IKEv1, que já está obsoleto. Os ataques começaram em 7 de maio e aumentaram em junho, afetando cerca de uma dúzia de organizações globalmente, com um caso relacionado à operação de ransomware Qilin. A Check Point recomenda que os clientes que ainda utilizam o IKEv1 apliquem as atualizações de segurança imediatamente. Além disso, a empresa identificou uma segunda vulnerabilidade, CVE-2026-50752, que afeta a validação de certificados no IKEv1, suscetível a ataques man-in-the-middle, embora ainda não haja evidências de exploração ativa dessa falha. Medidas de mitigação foram sugeridas para aqueles que não podem aplicar os patches imediatamente.

Grupo de ciberespionagem ligado à China utiliza malware em sistemas Linux

Um grupo de ciberespionagem com vínculos à China, identificado como VerdantBamboo, foi observado utilizando uma variante BSD de um backdoor conhecido como BRICKSTORM, além de outras famílias de malware chamadas PLENET (também conhecida como GRIMBOLT) e AGENTPSD, para atacar sistemas Linux. A Volexity, empresa de cibersegurança, atribuiu essas atividades a um cluster de ameaças que se sobrepõe a grupos de hackers como Clay Typhoon e UNC5221. A intrusão foi descoberta em setembro de 2025, quando a Volexity identificou que o adversário havia comprometido o sistema Egnyte Storage Sync de uma vítima, explorando uma falha de escalonamento de privilégios. Após a correção da vulnerabilidade em março de 2026, o grupo conseguiu retornar, utilizando credenciais administrativas roubadas para acessar o firewall da organização e implantar malware em um dispositivo NAS Synology. O PLENET é um backdoor multiplataforma desenvolvido em .NET Core, enquanto o AGENTPSD é um shell reverso baseado em Python. A Volexity alerta que o VerdantBamboo demonstra um alto nível de sofisticação e conhecimento sobre dispositivos proprietários, permitindo a implementação de mecanismos de persistência personalizados.

A Inteligência Artificial e o Crescimento do Phishing Desafios e Soluções

O uso crescente da inteligência artificial (IA) por cibercriminosos tem transformado o phishing em uma máquina de volume, permitindo a criação rápida de e-mails convincentes e páginas de login falsas. Isso resulta em um aumento significativo no número de alertas que as equipes de segurança (Tier 1) precisam revisar, dificultando a identificação de tentativas reais de roubo de credenciais ou entrega de malware. As variações nas iscas, a melhor impersonificação e a personalização das mensagens tornam o trabalho das equipes de segurança mais complexo, levando a um aumento no tempo de resposta e na carga de trabalho. Para enfrentar esses desafios, é essencial que as equipes adotem soluções que combinem verificações automatizadas e visibilidade baseada em comportamento. Ferramentas como o ANY.RUN, que permite a análise interativa de links suspeitos em um ambiente seguro, podem acelerar a triagem e reduzir a sobrecarga das equipes. Além disso, relatórios prontos para uso podem facilitar a transição entre as equipes de Tier 1 e Tier 2, melhorando a eficiência na resposta a incidentes. A adoção dessas tecnologias pode resultar em uma redução significativa na carga de trabalho e no tempo de resposta, permitindo que as organizações se protejam melhor contra ameaças emergentes.

Mais de 20 mil contas do Instagram foram sequestradas por hackers

Recentemente, a Meta revelou que mais de 20 mil contas de usuários do Instagram foram sequestradas por atacantes que exploraram uma falha no sistema de suporte assistido por IA da empresa, conhecido como High Touch Support (HTS). Os criminosos conseguiram contornar a verificação de e-mails, obtendo links de redefinição de senha e acessando contas sem a necessidade de autenticação em duas etapas (2FA). Após um aumento nas reclamações de usuários nas redes sociais, a Meta afirmou que o problema foi resolvido e que as contas afetadas foram protegidas. A empresa desativou o sistema HTS e gerou novos checkpoints de segurança para os usuários impactados, solicitando que redefinissem suas senhas. Embora a Meta não tenha confirmado quais informações pessoais foram acessadas, é possível que os atacantes tenham obtido dados como endereços de e-mail, números de telefone, datas de nascimento e conteúdo das contas. A Meta se comprometeu a corrigir a falha de autenticação antes de relançar o sistema e está revisando outros fluxos de recuperação de conta em suas plataformas. Este incidente destaca a vulnerabilidade de sistemas de suporte e a importância de medidas de segurança robustas.

Microsoft implementa atraso em atualizações do Visual Studio Code

A Microsoft anunciou uma nova funcionalidade para o Visual Studio Code (VS Code) que introduz um atraso de duas horas nas atualizações automáticas de extensões. Essa medida visa aumentar a segurança do ambiente de desenvolvimento, protegendo os usuários contra versões problemáticas ou potencialmente comprometidas. A partir da versão 1.123 do VS Code, as atualizações automáticas ocorrerão duas horas após a publicação, permitindo que os desenvolvedores tenham um tempo adicional para avaliar novas versões. Os usuários ainda poderão optar por atualizar extensões imediatamente, utilizando um botão específico. No entanto, essa nova funcionalidade não se aplica a extensões de editores confiáveis como Microsoft, GitHub e OpenAI, que continuarão a ser atualizadas instantaneamente. Essa iniciativa segue uma tendência crescente entre plataformas de gerenciamento de pacotes, como RubyGems e npm, que também implementaram controles de instalação baseados em tempo para mitigar a exposição a versões maliciosas recém-publicadas. Essas mudanças são uma resposta ao aumento de incidentes na cadeia de suprimentos de software, que têm como alvo sistemas de desenvolvedores e usuários finais.

Campanha de extorsão por roubo de dados atinge empresas nos EUA

Pesquisadores de cibersegurança revelaram uma campanha de extorsão financeira que visou diversas organizações nos setores profissional, jurídico e financeiro dos EUA entre janeiro e maio de 2026. A atividade foi atribuída ao grupo de ameaças UNC3753, também conhecido como Chatty Spider e Silent Ransom Group (SRG). Os atacantes utilizam técnicas de engenharia social e vishing para obter acesso remoto a ambientes corporativos, se passando por suporte técnico. Eles convencem as vítimas a compartilhar telas e instalar softwares de monitoramento remoto. Uma vez dentro, os criminosos localizam e exfiltram informações sensíveis, como acordos legais e dados financeiros. Em alguns casos, os atacantes também realizaram intrusões físicas, se passando por técnicos de TI para roubar dados diretamente dos sistemas das vítimas. O grupo tem pressionado as vítimas a pagarem resgates sob a ameaça de divulgar as informações roubadas. A campanha destaca a vulnerabilidade de empresas que lidam com dados sensíveis e a eficácia das táticas de engenharia social em contornar medidas de segurança tradicionais.

Grupo Silent Ransom ataca escritórios de advocacia nos EUA

O grupo de extorsão Silent Ransom está atacando ativamente escritórios de advocacia e organizações de serviços profissionais nos Estados Unidos, conforme um relatório da Mandiant. Os ataques, que incluem engenharia social e roubo de dados, podem resultar em vazamentos de informações sensíveis em questão de horas após o primeiro contato. O FBI já havia emitido um aviso sobre esses ataques, que se caracterizam por e-mails de phishing disfarçados de faturas, seguidos por chamadas telefônicas de atacantes que se passam por funcionários de TI. Durante as sessões de suporte remoto, os atacantes convencem os funcionários a instalar ferramentas de monitoramento, permitindo acesso inicial à rede corporativa. O grupo, que opera desde 2022, não utiliza mais criptografia de ransomware, focando exclusivamente na extorsão de dados. As demandas de resgate são enviadas rapidamente, com prazos curtos para resposta, e ameaças de vazamento de dados são utilizadas para pressionar as vítimas. Para se proteger, Mandiant e o FBI recomendam a implementação de procedimentos rigorosos de verificação para interações de suporte de TI e treinamento de funcionários para reconhecer tentativas de phishing por voz.

Nova variante do botnet Gafgyt, C0XMO, ataca roteadores DD-WRT

Uma nova variante do botnet Gafgyt, chamada C0XMO, está direcionando ataques a roteadores com firmware DD-WRT e pode se espalhar para outros dispositivos com diferentes arquiteturas de CPU, como ARM, MIPS e x86. Pesquisadores da Fortinet identificaram que o malware é capaz de realizar ataques de negação de serviço distribuído (DDoS) utilizando 19 métodos distintos, incluindo inundações UDP e TCP, além de amplificação via NTP e Memcached. A infecção ocorre por meio da exploração da vulnerabilidade CVE-2021-27137, que permite a execução de código arbitrário sem autenticação. O C0XMO possui um design modular que facilita atualizações e a adição de novas técnicas de exploração. Após a infecção, o malware se oculta em diretórios temporários e cria tarefas agendadas para reiniciar a cada 15 minutos. Além disso, ele busca eliminar concorrentes no dispositivo infectado, removendo outros clientes de botnets e ferramentas que possam interferir em sua operação. A recomendação para mitigar os riscos associados ao C0XMO inclui manter dispositivos atualizados, usar credenciais únicas e desabilitar o acesso remoto quando não necessário. Este botnet representa uma evolução em relação a variantes anteriores, com uma arquitetura mais sofisticada e complexa.

Robô ucraniano resiste a ataques russos por 45 dias

Um robô de combate ucraniano, o Droid TW 12.7, desempenhou um papel crucial ao repelir ataques russos em uma interseção estratégica por 45 dias durante o verão de 2025. Controlado remotamente a uma distância de até 10 km, o robô estava armado com uma metralhadora M2 Browning de 12,7 mm e operava em conjunto com drones de vigilância aérea, permitindo que os operadores atacassem alvos em tempo real sem expor tropas ao perigo. Este foi o primeiro uso totalmente robótico em operações defensivas na Ucrânia, destacando a crescente dependência de veículos terrestres não tripulados (UGVs) em um cenário de escassez de mão de obra devido ao conflito em andamento. O presidente ucraniano Volodymyr Zelenskyy anunciou planos para adquirir pelo menos 50.000 UGVs, considerando-os um avanço significativo após os drones de combate. Embora o Droid TW 12.7 tenha demonstrado eficácia, ele requer manutenção regular, incluindo recarga de baterias e reposição de munição, e não é totalmente autônomo na seleção de alvos, o que limita sua operação em áreas com civis. A utilização de UGVs como o Droid TW 12.7 pode se intensificar à medida que a guerra se prolonga, refletindo uma mudança nas táticas de combate.

Vulnerabilidade crítica no plugin Everest Forms Pro afeta WordPress

Uma vulnerabilidade crítica (CVE-2026-3300) no plugin Everest Forms Pro está sendo explorada ativamente por hackers, permitindo que eles assumam o controle total de sites WordPress. A falha afeta as versões 1.9.12 e anteriores do plugin, que é amplamente utilizado para criar formulários personalizados. O problema reside na funcionalidade de Cálculo Complexo do plugin, que aceita valores de campos de formulário e os insere em uma string de código PHP, executando-o com a função ’eval()’. Embora a entrada do usuário seja filtrada por ‘sanitize_text_field()’, essa função não escapa caracteres que podem influenciar a sintaxe do PHP, como aspas simples. Isso permite que um invasor feche a string pretendida, injete código PHP arbitrário e comente o restante do código gerado, resultando na execução do código no servidor. Dados do Wordfence indicam que a exploração começou em 13 de abril, com mais de 29.300 tentativas bloqueadas. Os administradores de sites são aconselhados a revisar logs e contas de administrador em busca de atividades suspeitas, especialmente aquelas relacionadas ao nome de usuário ‘diksimarina’. Um patch foi disponibilizado em 18 de março para corrigir a vulnerabilidade.

OpenAI lança Modo de Bloqueio para proteger dados no ChatGPT

A OpenAI introduziu uma nova funcionalidade chamada Modo de Bloqueio para o ChatGPT, destinada a contas pessoais elegíveis. Essa ferramenta visa reduzir o risco de exfiltração de dados decorrente de ataques de injeção de comandos. O Modo de Bloqueio é especialmente útil para indivíduos e organizações que lidam com informações sensíveis, oferecendo garantias de proteção mais rigorosas. Disponível para usuários logados em planos Free, Go, Plus, Pro e ChatGPT Business, essa configuração de segurança avançada limita várias ferramentas e capacidades que podem se conectar à web ou a serviços externos.

Ataque à Cadeia de Suprimentos Afeta Repositórios do GitHub da Microsoft

Recentemente, 73 repositórios do GitHub da Microsoft, incluindo aqueles relacionados ao Azure e MicrosoftDocs, foram comprometidos por uma campanha de ataque à cadeia de suprimentos chamada Miasma. O GitHub desativou o acesso a esses repositórios após a violação das suas políticas de serviço. O ataque é uma variante do worm Mini Shai-Hulud, que se aproveita do modelo de confiança das plataformas de código aberto, explorando a suposição de que pacotes assinados por mantenedores autenticados são seguros. O ataque se destaca por sua capacidade de se propagar rapidamente, comprometendo usuários downstream e repetindo o ciclo de infecção. O vetor de ataque inclui a injeção de código malicioso em repositórios legítimos, que é ativado quando um desenvolvedor clona e abre o repositório em ferramentas de codificação. Este incidente evidencia as vulnerabilidades nas cadeias de suprimentos de software e a necessidade de uma vigilância contínua e de medidas de segurança robustas.

Vulnerabilidades em FFmpeg e Chrome Acelerando a Resposta em Cibersegurança

Recentemente, uma startup de segurança revelou 21 vulnerabilidades desconhecidas no FFmpeg, uma biblioteca de mídia amplamente utilizada, todas descobertas por um agente de IA autônomo. Essas falhas, que incluem estouros de pilha e heap, estavam latentes por até 23 anos. Em paralelo, o Google lançou o Chrome 149, corrigindo um recorde de 429 bugs de segurança, sendo 100 deles de alta severidade. O bug mais crítico, CVE-2026-10881, permite que uma página maliciosa escape da sandbox e execute código no host, resultando em um pagamento de $97.000 ao pesquisador que o descobriu. A pressão para encontrar e corrigir vulnerabilidades aumentou com o uso de IA, que está gerando um volume maior de relatórios. O Google reformulou seu programa de recompensas para lidar com essa avalanche de descobertas, exigindo provas mais concisas. Para mitigar riscos, é crucial que os usuários do FFmpeg atualizem suas versões assim que os patches estiverem disponíveis, especialmente aqueles que lidam com fluxos de mídia não confiáveis. Para o Chrome, a atualização para a versão 149 é essencial para garantir a segurança do navegador.

CISA alerta sobre vulnerabilidade crítica no SolarWinds Serv-U

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no software de servidor de arquivos multi-protocolo SolarWinds Serv-U em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-28318, possui uma pontuação CVSS de 7.5 e é classificada como um bug de negação de serviço (DoS), que pode causar a queda do serviço sob certas condições. Segundo a SolarWinds, a falha é suscetível a requisições POST especialmente elaboradas que podem derrubar o serviço sem necessidade de autenticação, utilizando o cabeçalho Content-Encoding: deflate. A empresa já lançou uma correção na versão 15.5.4 HF1 do Serv-U e recomenda que os usuários limitem o acesso a endereços conhecidos e bloqueiem requisições que contenham “content-encoding”. A CISA ordenou que as agências do governo federal dos EUA resolvam a falha até 19 de junho de 2026. Embora a exploração ativa tenha sido confirmada, não há informações sobre como a vulnerabilidade está sendo utilizada em ataques reais ou quantas instâncias do Serv-U expostas à internet foram comprometidas.

SDK da Bright Data transforma TVs em nós de saída para scraping

Um pesquisador reverteu a engenharia do SDK da Bright Data, que é embutido em aplicativos de consumo, revelando como ele transforma dispositivos, como TVs inteligentes sempre ligadas, em nós de saída que retransmitem tráfego de web scraping. A Bright Data, sucessora da Luminati, opera a maior rede de proxies residenciais do mundo, com mais de 400 milhões de IPs residenciais. O problema surge quando o tráfego de scraping utiliza a conexão de internet do usuário, em vez da do cliente, o que pode resultar em uso indevido da largura de banda do usuário. O SDK não possui autenticação robusta e, em dispositivos iOS, o tráfego consegue contornar VPNs configuradas. A tela de consentimento apresentada aos usuários não reflete a extensão do uso permitido pelo SDK, que pode consumir até 200 GB de tráfego mensalmente. Embora a Bright Data afirme que os nós de saída são opt-in, a validade desse consentimento é questionável. A pesquisa destaca a necessidade de monitoramento e bloqueio de endereços web associados ao SDK para proteger a rede doméstica. Com a crescente demanda por dados para IA, essa prática levanta preocupações sobre privacidade e segurança, especialmente no contexto da LGPD no Brasil.

Cisco alerta sobre falha crítica no Catalyst SD-WAN Manager

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2026-20245, que afeta o Catalyst SD-WAN Manager. Com uma pontuação CVSS de 7.8, essa falha permite que um atacante autenticado execute comandos arbitrários como root, ao enviar um arquivo malicioso para o sistema afetado. A vulnerabilidade é resultado de uma validação insuficiente de entradas fornecidas pelo usuário, o que pode levar a ataques de injeção de comandos e elevação de privilégios. Para explorar essa falha, o atacante precisa ter privilégios de netadmin, o que requer credenciais válidas ou a exploração de outras vulnerabilidades conhecidas, como CVE-2026-20182 e CVE-2026-20127, ambas já exploradas ativamente. A Cisco não possui patches disponíveis para CVE-2026-20245, mas recomenda que os clientes atualizem seu software SD-WAN para corrigir as falhas anteriores. A empresa também alertou que sistemas expostos à internet estão em risco elevado de comprometimento e sugere que os usuários verifiquem logs específicos em busca de indicadores de comprometimento. Essa é a sétima vulnerabilidade crítica identificada na plataforma SD-WAN da Cisco em 2026, destacando a necessidade urgente de atenção e ação por parte das organizações que utilizam essas tecnologias.

Homem da Califórnia é condenado por tráfico de drogas no dark web

Darren Hughes, um homem de 39 anos de San Jose, Califórnia, foi condenado a mais de 26 anos de prisão federal por tráfico de fentanil e metanfetamina através do Nemesis Market, um dos maiores mercados ilegais da dark web. Hughes foi preso em junho de 2023 após vender drogas a agentes infiltrados em cinco ocasiões, utilizando criptomoedas como forma de pagamento. Durante a prisão, a polícia encontrou 672 gramas de metanfetamina e uma arma de fogo sem número de série em seu veículo. O Nemesis Market, que operou de 2021 até sua desarticulação em março de 2024, tinha mais de 150 mil contas de usuários e processou centenas de milhares de pedidos de drogas, incluindo opioides. Autoridades de vários países, incluindo os EUA e a Alemanha, colaboraram para fechar o mercado, destacando a crescente preocupação com o tráfico de drogas na internet e a eficácia das forças de segurança em combater esses crimes, mesmo em plataformas que parecem anônimas.

Grupo de espionagem chinês UNC5221 compromete ambientes Microsoft 365

O grupo de espionagem chinês UNC5221, também conhecido como VerdantBamboo, tem explorado ambientes Microsoft 365 utilizando a backdoor Brickstorm e malwares não documentados, como Plenet e AgentPSD. A investigação revelou que os atacantes conseguiram acesso à rede da vítima por pelo menos 18 meses antes de serem detectados, comprometendo também o provedor de serviços gerenciados (MSP) da organização alvo. O Brickstorm, descrito como um implante de malware avançado, foi utilizado de forma indetectável em várias organizações nos Estados Unidos até a descoberta das brechas em março de 2025. Os pesquisadores da Volexity identificaram que os hackers acessaram um sistema de armazenamento Egnyte e, a partir daí, conseguiram entrar no ambiente Microsoft 365 da vítima, utilizando técnicas para se misturar ao tráfego legítimo e evitar políticas de acesso condicional. Após a remediação inicial, os atacantes conseguiram invadir a organização novamente, utilizando credenciais roubadas para configurar o acesso VPN e implantar malware adicional. O Plenet, um backdoor baseado em .NET, e o AgentPSD, uma ferramenta de shell reverso em Python, foram utilizados como mecanismos de persistência. A CISA emitiu alertas sobre a utilização do Brickstorm por hackers chineses, destacando a necessidade de atenção redobrada para a segurança em ambientes que não suportam soluções de detecção e resposta de endpoint (EDR).

CISA alerta sobre exploração de falha crítica no SolarWinds Serv-U

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no software Serv-U da SolarWinds, que foi recentemente corrigida. A falha, identificada como CVE-2026-28318, permite que atacantes remotos provoquem a queda do serviço sem necessidade de autenticação, utilizando requisições POST especialmente elaboradas. A SolarWinds lançou um patch para corrigir essa vulnerabilidade, mas a CISA observou que a exploração já está ocorrendo na prática, levando a agência a incluir a falha em seu Catálogo de Vulnerabilidades Conhecidas. Administradores que não puderem aplicar a correção imediatamente são aconselhados a restringir o acesso a endereços conhecidos e bloquear requisições POST que contenham “content-encoding”. Atualmente, mais de 12.000 servidores Serv-U estão expostos online, o que representa um risco significativo, especialmente considerando que grupos de cibercrime têm historicamente explorado falhas nesse software para roubar dados sensíveis. A CISA enfatiza a necessidade de que todas as organizações, incluindo o setor privado, tomem medidas para proteger suas redes contra esses ataques.