Cibersegurança

A Microsoft anunciou que, a partir do final de abril, começará a implementar o suporte a chaves de acesso para autenticação sem senha e resistente a phishing em recursos protegidos pelo Microsoft Entra em dispositivos Windows. A funcionalidade deve estar disponível para o público geral até junho de 2026 e se estenderá a dispositivos Windows não gerenciados. As chaves de acesso permitirão que usuários criem chaves vinculadas ao dispositivo, armazenadas no contêiner do Windows Hello, e autentiquem-se usando métodos como reconhecimento facial, impressão digital ou PIN. Isso visa fortalecer a segurança e reduzir a dependência de senhas em cenários que envolvem dispositivos corporativos, pessoais e compartilhados. A nova funcionalidade estará disponível para organizações que habilitarem o ‘Microsoft Entra ID com chaves de acesso’ nas políticas de métodos de autenticação, desde que as políticas de Acesso Condicional permitam. As chaves de acesso são criptograficamente vinculadas a cada dispositivo e não são transmitidas pela rede, o que dificulta a ação de atacantes em casos de phishing ou malware. Essa atualização surge em um contexto de crescente ataque a contas de SSO do Microsoft Entra, evidenciando a necessidade de medidas de segurança mais robustas.

Um novo grupo de hackers, conhecido como BlackFile, tem sido associado a uma série de ataques de roubo de dados e extorsão direcionados a organizações de varejo e hospitalidade desde fevereiro de 2026. O grupo, que também é rastreado como CL-CRI-1116 e UNC6671, utiliza técnicas de engenharia social, como o vishing, para se passar por funcionários de suporte técnico e obter credenciais de funcionários. Os ataques começam com ligações de números falsificados, levando os funcionários a páginas de login falsas onde são solicitadas suas credenciais e códigos de acesso temporários.

A Microsoft está implementando melhorias nas atualizações do Windows, oferecendo aos usuários maior controle sobre a instalação de atualizações e reduzindo interrupções causadas por reinicializações frequentes. As mudanças, que estão sendo disponibilizadas para os Windows Insiders, surgem em resposta a feedbacks que destacaram problemas como a interrupção de fluxos de trabalho e a falta de controle sobre o momento das atualizações. Entre as novas funcionalidades, destaca-se a possibilidade de pausar atualizações por até 35 dias, com a opção de escolher uma data específica para isso. Além disso, o menu de energia agora separa as opções de desligamento e reinicialização das ações relacionadas a atualizações, permitindo que os usuários desliguem ou reiniciem seus dispositivos sem que atualizações sejam instaladas. A Microsoft também está tornando mais claro quais drivers estão sendo oferecidos nas atualizações, identificando o tipo de dispositivo diretamente no título da atualização. Por fim, a empresa está consolidando diferentes tipos de atualizações em uma única reinicialização mensal, o que deve diminuir a frequência de reboots necessários. Essas melhorias visam proporcionar uma experiência de usuário mais fluida e menos intrusiva, mantendo a segurança dos dispositivos.

Agências de cibersegurança dos EUA e do Reino Unido emitiram um alerta sobre um malware personalizado chamado Firestarter, que persiste em dispositivos Cisco Firepower e Secure Firewall que utilizam o software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD). O malware, atribuído a um ator de ameaças conhecido como UAT-4356, é utilizado em campanhas de ciberespionagem e permite acesso remoto contínuo mesmo após a aplicação de patches. A vulnerabilidade inicial explorada foi identificada como CVE-2025-20333, relacionada a uma falha de autorização, e CVE-2025-20362, um bug de estouro de buffer.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que um dispositivo Cisco Firepower de uma agência federal foi comprometido em setembro de 2025 por um malware chamado FIRESTARTER. Este malware é considerado uma backdoor que permite acesso remoto e controle, sendo parte de uma campanha de um ator de ameaça persistente avançada (APT). O ataque explorou vulnerabilidades críticas, como CVE-2025-20333 e CVE-2025-20362, que já foram corrigidas, mas dispositivos comprometidos antes da aplicação dos patches permanecem vulneráveis. O FIRESTARTER pode persistir mesmo após atualizações de firmware, manipulando a sequência de inicialização do dispositivo. Além disso, um kit de ferramentas pós-exploração chamado LINE VIPER foi utilizado para executar comandos e capturar pacotes. A Cisco recomenda a reimagens dos dispositivos afetados para remover completamente o malware. O incidente destaca a crescente complexidade das redes de ataque, especialmente com a utilização de dispositivos IoT e roteadores comprometidos por grupos patrocinados pelo estado, como os hackers chineses. Isso levanta preocupações sobre a segurança de infraestruturas críticas e a necessidade de vigilância constante.

O sistema de pagamentos instantâneos Pix, amplamente utilizado no Brasil, tem sido alvo de diversos golpes que exploram a pressa e a confiança dos usuários. Os criminosos utilizam QR codes adulterados, que podem ser colados sobre códigos legítimos em lojas, ou enviam links de pagamento via mensagens, muitas vezes com urgência, para induzir a transferência de valores. A engenharia social é uma tática comum, onde golpistas se passam por conhecidos ou representantes de empresas, criando histórias convincentes para justificar a solicitação de um Pix. Para evitar cair nesses golpes, é fundamental verificar sempre o nome e o CPF ou CNPJ do recebedor, além de confirmar o valor da transação. Caso a vítima caia em um golpe, o Banco Central recomenda que a pessoa entre em contato com o banco imediatamente e registre a ocorrência, pois há mecanismos para tentar recuperar o valor perdido. A conscientização e a cautela são essenciais para garantir a segurança nas transações financeiras digitais.

Pesquisadores do Citizen Lab revelaram que dois grupos de vigilância estão explorando falhas na infraestrutura global de telecomunicações para rastrear a localização de usuários de celulares. Os ataques utilizam sistemas de sinalização, como SS7 e Diameter, que são essenciais para a comunicação entre operadoras. A primeira campanha visou um alvo de alto perfil, enquanto a segunda enviou mensagens SMS invisíveis que coletavam informações de localização sem o conhecimento do usuário. O mais alarmante é que esses ataques não dependem de malware ou ações do usuário, podendo ser realizados simplesmente comprometendo a rede móvel. Além disso, o uso de VPNs não oferece proteção contra esses tipos de rastreamento, pois os ataques operam em um nível diferente da conexão de internet. Embora esses ataques pareçam direcionados a indivíduos de alto perfil, a falta de medidas de proteção efetivas para o público em geral levanta preocupações sobre a segurança das comunicações móveis. Para indivíduos em risco, a única solução viável é desativar as conexões celulares e usar apenas Wi-Fi.

Mais de 10.000 instâncias do Zimbra Collaboration Suite (ZCS) estão expostas online e vulneráveis a ataques que exploram uma falha de segurança de cross-site scripting (XSS), conforme relatado pela organização de segurança sem fins lucrativos Shadowserver. O Zimbra é um software de e-mail e colaboração amplamente utilizado, incluindo por diversas agências governamentais e empresas ao redor do mundo. A vulnerabilidade, identificada como CVE-2025-48700, afeta as versões 8.8.15, 9.0, 10.0 e 10.1 do ZCS, permitindo que atacantes não autenticados acessem informações sensíveis ao executar JavaScript arbitrário na sessão do usuário. A Synacor, responsável pelo Zimbra, lançou patches de segurança em junho de 2025, alertando que a exploração da falha não requer interação do usuário e pode ser ativada ao visualizar um e-mail malicioso. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu a CVE-2025-48700 em seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que agências federais protejam seus servidores Zimbra em um prazo de três dias. A maioria dos servidores vulneráveis está localizada na Ásia e na Europa, com um número significativo ainda sem correção. Além disso, a exploração de falhas do Zimbra tem sido uma tática comum em ataques cibernéticos, incluindo campanhas de phishing direcionadas a entidades governamentais ucranianas.

O artigo de Eirik Salmi destaca a crescente preocupação com a segurança das credenciais em instituições financeiras, especialmente após a implementação do Digital Operational Resilience Act (DORA) na União Europeia. De acordo com o relatório da IBM sobre o custo de vazamentos de dados, os atacantes podem permanecer em redes por uma média de 186 dias antes de serem detectados, causando danos operacionais significativos. O DORA, que entrou em vigor em 17 de janeiro de 2025, estabelece que a segurança das credenciais é uma obrigação legal, exigindo autenticação forte e acesso com privilégios mínimos. O artigo detalha os requisitos do Artigo 9 do DORA, que inclui a implementação de políticas de autenticação robustas e a gestão de chaves criptográficas. Além disso, enfatiza a importância de ferramentas de gerenciamento de acesso privilegiado (PAM) e a necessidade de proteger não apenas as credenciais internas, mas também as de fornecedores terceirizados, como evidenciado pelo ataque à Santander em 2024. O artigo conclui que a conformidade com o DORA é crucial para a continuidade operacional e a mitigação de riscos regulatórios.

O Escritório do Inspetor Geral (OIG) da NASA revelou um caso de espionagem cibernética onde um cidadão chinês, Song Wu, se fez passar por pesquisador americano para obter informações sensíveis da agência espacial, além de universidades e empresas privadas. A campanha de spear-phishing, que ocorreu entre janeiro de 2017 e dezembro de 2021, visou dezenas de professores e engenheiros dos EUA, incluindo funcionários da NASA e das Forças Armadas. Song, que trabalhava para a Aviation Industry Corporation of China (AVIC), utilizou táticas de engenharia social para se infiltrar em redes de pesquisa, solicitando software de modelagem usado em design aeroespacial e desenvolvimento de armamentos. O OIG destacou que muitos dos alvos não perceberam que estavam violando leis de controle de exportação ao compartilhar informações com contas falsas gerenciadas por Song. Ele foi indiciado por fraude eletrônica e roubo de identidade, enfrentando até 20 anos de prisão por cada acusação. O FBI incluiu Song na lista dos mais procurados, alertando que o software obtido poderia ter aplicações militares e industriais. O OIG também alertou sobre sinais comuns de fraudes de exportação que podem ajudar a identificar campanhas de phishing.

Uma vulnerabilidade de alta severidade foi identificada no LMDeploy, um toolkit de código aberto para compressão e implantação de modelos de linguagem, e já está sendo ativamente explorada. A falha, classificada como CVE-2026-33626 com um score CVSS de 7.5, refere-se a uma vulnerabilidade de Server-Side Request Forgery (SSRF) que permite o acesso a dados sensíveis. O problema reside na função load_image() que não valida endereços IP internos, possibilitando que atacantes acessem serviços de metadados em nuvem e redes internas. A exploração bem-sucedida pode permitir o roubo de credenciais de nuvem e a movimentação lateral em redes internas. A empresa Sysdig detectou a primeira tentativa de exploração em um sistema honeypot apenas 12 horas após a divulgação da vulnerabilidade, com o atacante realizando uma varredura de portas em serviços internos. Este incidente destaca a rapidez com que as vulnerabilidades estão sendo exploradas, especialmente em um contexto onde a inteligência artificial está acelerando a criação de exploits. Além disso, outras vulnerabilidades em plugins do WordPress e dispositivos Modbus também estão sendo alvo de ataques, evidenciando um cenário de ameaças em expansão.

Uma nova campanha de cibersegurança está direcionando usuários de língua chinesa, utilizando uma versão trojanizada do leitor SumatraPDF para implantar o agente AdaptixC2 Beacon. A Zscaler ThreatLabz, que identificou a campanha, atribui-a com alta confiança ao grupo de hackers Tropic Trooper, ativo desde 2011 e conhecido por atacar entidades em Taiwan, Hong Kong e Filipinas. O ataque começa com um arquivo ZIP contendo documentos com temas militares que, ao serem abertos, lançam o SumatraPDF modificado. Este executável exibe um PDF falso enquanto busca código shell criptografado de um servidor de preparação, ativando o AdaptixC2 Beacon. O loader, uma variante do malware Xiangoop, é responsável por iniciar um ataque em múltiplas etapas, utilizando o GitHub como plataforma de comando e controle. Quando a vítima é considerada valiosa, o ator da ameaça instala o Visual Studio Code e configura túneis para acesso remoto. O servidor de preparação também foi observado hospedando um Cobalt Strike Beacon e um backdoor chamado EntryShell, ambos utilizados anteriormente pelo Tropic Trooper. Essa campanha representa uma ameaça significativa, especialmente para indivíduos e organizações na região asiática.

Uma nova variante do malware Mirai está ameaçando roteadores D-Link da série DIR-823-X, permitindo que hackers assumam o controle dos dispositivos sem aviso. A vulnerabilidade, identificada pela empresa de segurança Akamai, foi detectada pela primeira vez em março de 2026 e se baseia em uma injeção de comandos que foi descoberta há 13 meses. Os pesquisadores Wang Jinshuai e Zhao Jiangting publicaram uma prova de conceito da falha, que posteriormente foi removida. As versões de firmware 240126 e 24082 estão especialmente vulneráveis, permitindo a execução de comandos remotos não autorizados. O ataque ocorre quando pedidos manipulados são enviados a um ponto de acesso vulnerável, resultando na instalação do malware tuxnokill, que transforma o roteador em um botnet para ataques DDoS. A D-Link não oferece mais suporte para esses modelos desde novembro de 2024, tornando a situação ainda mais crítica. Especialistas recomendam a substituição dos roteadores antigos ou, se isso não for possível, a desativação do acesso remoto e a mudança de senhas padrão.

Durante o Google Cloud Next 2026, a gigante da tecnologia apresentou inovações na aplicação de inteligência artificial (IA) para a segurança digital. A aquisição da Wiz, uma empresa de segurança em nuvem, por US$ 32 bilhões, destaca a importância da automação na identificação e resposta a riscos em ambientes complexos. Yinon Costica, cofundador da Wiz, e Francis deSouza, COO do Google Cloud, discutiram como agentes de IA estão sendo utilizados para automatizar processos que antes eram manuais, como a descoberta de vulnerabilidades e a resposta a incidentes. A automação permite que as empresas lidem com um volume maior de riscos sem a necessidade de expandir suas equipes. Além disso, a integração de soluções em ambientes multicloud apresenta novos desafios, exigindo visibilidade e controle em múltiplas plataformas. A IA não apenas identifica problemas, mas também pode iniciar correções, acelerando o tempo de resposta. A capacidade das empresas de usar seu próprio contexto para antecipar ameaças é vista como uma vantagem estratégica. Com a evolução da IA, a segurança digital se torna um processo contínuo e integrado às operações de negócios, ressaltando que a proteção de sistemas e dados é essencial para a estratégia empresarial.

Recentemente, ataques de ransomware Trigona têm utilizado uma ferramenta personalizada chamada ‘uploader_client.exe’ para exfiltração de dados em ambientes comprometidos. Essa ferramenta, que se conecta a um servidor com endereço fixo, foi projetada para operar de forma mais eficiente e rápida, permitindo até cinco conexões simultâneas por arquivo e rotacionando conexões TCP após 2GB de tráfego, a fim de evitar a detecção. Além disso, ela permite a exfiltração seletiva de tipos de arquivos, excluindo mídias de baixo valor. Os ataques, que começaram em outubro de 2022, exigem pagamentos em criptomoeda Monero e, apesar de uma interrupção temporária em outubro de 2023 por ativistas cibernéticos ucranianos, os operadores do ransomware parecem ter retomado suas atividades. A Symantec, que analisou esses ataques, observou que os invasores instalam ferramentas como HRSword para desativar produtos de segurança e utilizam programas como AnyDesk para acesso remoto. A empresa também disponibilizou indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio dessas ameaças.

Recentemente, o Bitwarden confirmou que seu pacote CLI no npm foi comprometido por um ataque que resultou na distribuição de uma versão maliciosa (2026.4.0) entre 22 de abril de 2026, das 17h57 às 19h30 ET. O ataque, que utilizou um GitHub Action comprometido, injetou um código malicioso que coletava credenciais sensíveis, como tokens do npm e chaves SSH, de sistemas infectados. O malware, que se autopropraga, armazenava dados coletados em repositórios públicos no GitHub da vítima, utilizando uma string de referência a ataques anteriores. O Bitwarden assegurou que não houve acesso aos dados dos usuários finais e que as medidas corretivas foram tomadas imediatamente após a detecção do problema. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento, especialmente em CI/CD, onde as credenciais podem ser reutilizadas para expandir ataques. Desenvolvedores que instalaram a versão afetada devem considerar suas credenciais como comprometidas e realizar a rotação imediata das mesmas.

Um novo grupo de ameaças cibernéticas, identificado como UNC6692, tem utilizado táticas de engenharia social através do Microsoft Teams para implantar uma suíte de malware em sistemas comprometidos. Segundo um relatório da Mandiant, o grupo se aproveita da confiança dos usuários ao se passar por funcionários de suporte técnico, convencendo as vítimas a aceitarem convites de chat de contas externas. A campanha inclui um bombardeio de e-mails de spam, criando uma falsa urgência que leva os alvos a buscar ajuda. O ataque é direcionado principalmente a executivos e funcionários de alto escalão, visando acesso inicial a redes corporativas para roubo de dados e movimentação lateral. O método envolve o uso de um link de phishing que leva ao download de um script malicioso, que instala uma extensão de navegador chamada SNOWBELT, permitindo ao atacante executar comandos remotamente. A Mandiant destaca que essa abordagem combina a exploração de serviços em nuvem legítimos para entrega de payloads e exfiltração de dados, o que dificulta a detecção por filtros de segurança tradicionais. A situação é preocupante, pois demonstra uma evolução nas táticas de ataque, com um foco crescente em alvos de alto valor dentro das organizações.

Um novo relatório da Qrator Labs revela que a maior botnet já registrada cresceu de 1,33 milhão para 13,5 milhões de dispositivos infectados em apenas um ano, um aumento alarmante de dez vezes. A maioria dos dispositivos comprometidos está localizada nos Estados Unidos, Brasil e Índia, dificultando a eficácia de bloqueios baseados em país. Um dos ataques DDoS mais significativos, com pico de 2Tbps, ocorreu no primeiro trimestre de 2026, visando uma organização do setor de apostas e durou mais de 40 minutos, com múltiplos picos de intensidade. Os pesquisadores notaram uma mudança nas táticas dos atacantes, que agora utilizam métodos multi-vetoriais, combinando tráfego de rede e de aplicação. Além disso, um novo loader de botnet, conhecido como Aeternum C2, utiliza a blockchain Polygon para suas operações, tornando a desativação mais complexa. O aumento de tráfego automatizado e ataques prolongados, como um que durou mais de duas semanas contra um alvo de e-commerce, também foram observados, destacando a evolução das ameaças cibernéticas.

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC-UK) e parceiros internacionais alertaram que hackers associados à China estão utilizando redes de proxy em larga escala formadas por dispositivos de consumo sequestrados para evitar detecções e disfarçar suas atividades maliciosas. O aviso conjunto, assinado por agências de países como EUA, Austrália e Canadá, destaca que muitos grupos de hackers chineses mudaram de infraestrutura individual para vastas botnets compostas principalmente por roteadores de pequenas empresas e residências, além de câmeras conectadas à internet e dispositivos de armazenamento em rede (NAS). Essas botnets permitem que os atacantes redirecionem o tráfego através de dispositivos comprometidos, dificultando a detecção geográfica. Um exemplo é a botnet Raptor Train, que infectou mais de 260 mil dispositivos em 2024 e foi associada ao grupo de hackers Flax Typhoon, apoiado pelo estado chinês. O FBI conseguiu interromper essa botnet, mas os hackers continuam a reviver redes como a KV-Botnet, que utiliza roteadores vulneráveis. As agências de inteligência ocidentais alertam que as defesas tradicionais estão se tornando menos eficazes e recomendam a implementação de autenticação multifatorial e monitoramento dinâmico de ameaças.

Um estudo da Forrester estima que cada redefinição de senha custa cerca de $70, o que torna esse processo um dos pedidos mais comuns ao suporte técnico. Muitas organizações implementaram ferramentas de redefinição de senha autônoma (SSPR) para aliviar essa carga, mas ainda assim, as equipes de suporte lidam com um número significativo de solicitações. Os ataques de engenharia social, como o ocorrido com a Marks & Spencer em abril de 2025, demonstram como a redefinição de senha pode ser um alvo fácil para atacantes. Neste caso, os invasores se passaram por um funcionário da empresa e conseguiram redefinir uma senha, obtendo credenciais legítimas e acessando o Active Directory. A partir daí, eles extraíram dados sensíveis e implantaram ransomware, resultando em perdas significativas. Para mitigar esses riscos, recomenda-se a adoção de práticas como a verificação rigorosa da identidade do usuário, o uso de credenciais temporárias seguras e o monitoramento das atividades de redefinição de senha. Ferramentas como o Specops Secure Service Desk podem ajudar a fortalecer esse processo, garantindo que a verificação de identidade não dependa apenas de informações que podem ser facilmente obtidas ou adivinhadas.

A gigante de cosméticos holandesa Rituals anunciou uma violação de dados após atacantes acessarem informações pessoais de clientes de sua base de dados do programa de fidelidade ‘My Rituals’. O incidente foi descoberto no início deste mês, quando a empresa foi alertada sobre downloads não autorizados de dados de membros. Rituals informou que notificou as autoridades competentes e conseguiu conter a violação, bloqueando o acesso dos atacantes. A empresa afirmou que os dados comprometidos podem incluir nome completo, e-mail, telefone, data de nascimento, gênero e endereço residencial, mas garantiu que senhas e informações de pagamento não foram acessadas. A investigação forense está em andamento para entender as circunstâncias do ataque e prevenir futuros incidentes. Embora o número exato de clientes afetados não tenha sido divulgado, o programa ‘My Rituals’ conta com mais de 41 milhões de membros. A empresa também notificou alguns clientes nos Estados Unidos sobre a violação. Até o momento, não há evidências de que as informações roubadas tenham sido divulgadas online.

Recentemente, hackers comprometeram imagens Docker e extensões do Visual Studio Code (VSCode) e Open VSX do Checkmarx KICS, uma ferramenta de análise de segurança de código. O KICS, que é um scanner de código aberto, ajuda desenvolvedores a identificar vulnerabilidades em código-fonte e configurações. A investigação da empresa Socket revelou que a violação se estendeu para além da imagem Docker do KICS, incluindo extensões que baixavam um recurso oculto chamado ‘MCP addon’, projetado para instalar malware que rouba dados. Este malware visa informações sensíveis processadas pelo KICS, como tokens do GitHub, credenciais de nuvem e variáveis de ambiente, criptografando e exfiltrando esses dados para um domínio que se passa por infraestrutura legítima do Checkmarx. O ataque ocorreu em um intervalo específico, e os desenvolvedores que baixaram as versões comprometidas devem considerar suas credenciais comprometidas e tomar medidas imediatas para mitigar os riscos. A Checkmarx já removeu os artefatos maliciosos e está investigando o incidente com a ajuda de especialistas externos.

Recentemente, a Anthropic anunciou o Projeto Glasswing, um modelo de IA capaz de identificar vulnerabilidades em softwares com uma eficácia sem precedentes. A empresa decidiu adiar o lançamento público do modelo, concedendo acesso apenas a gigantes como Apple, Microsoft, Google e Amazon, para que pudessem corrigir falhas antes que adversários as explorassem. O modelo Mythos, precursor do Glasswing, descobriu vulnerabilidades em todos os principais sistemas operacionais e navegadores, incluindo uma falha que permaneceu oculta por 27 anos no OpenBSD. Apesar da eficácia na descoberta, menos de 1% das vulnerabilidades encontradas foram corrigidas, evidenciando uma lacuna crítica na capacidade de remediação do setor de cibersegurança. Os defensores, que operam em um ritmo mais lento, não conseguem acompanhar a velocidade dos atacantes, que agora utilizam IA para automatizar suas operações. O artigo destaca a necessidade urgente de que as organizações adotem programas de segurança que possam processar rapidamente as vulnerabilidades encontradas, priorizando a validação em tempo real e a remediação sem intervenções manuais. Essa mudança é crucial para enfrentar a crescente ameaça de ataques autônomos baseados em IA.

O artigo destaca a crescente ameaça de ataques cibernéticos impulsionados por inteligência artificial (IA), que estão se tornando mais rápidos e automatizados. A chamada ‘janela de exploração em colapso’ refere-se ao tempo cada vez menor que as organizações têm para corrigir vulnerabilidades antes que sejam exploradas por hackers. A abordagem tradicional de gerenciamento de vulnerabilidades, que depende de atualizações manuais, já não é suficiente para enfrentar essa nova realidade. O webinar promovido por Ofer Gayer, vice-presidente de produto da Miggo Security, visa fornecer insights sobre como as empresas podem se adaptar a essa nova dinâmica, priorizando riscos de forma mais eficaz e implementando soluções como o ‘patching virtual’. O público-alvo inclui CISOs, líderes de segurança de aplicativos e arquitetos de segurança, que precisam urgentemente repensar suas estratégias de defesa para proteger suas organizações contra ataques automatizados.

O cenário de cibersegurança continua a ser alarmante, com uma série de incidentes recentes que destacam a vulnerabilidade das infraestruturas digitais. Um dos principais eventos foi o roubo de criptomoedas de $290 milhões do projeto KelpDAO, supostamente orquestrado por atores de ameaças da Coreia do Norte, que comprometeram a infraestrutura de comunicação do LayerZero. Além disso, falhas críticas em plataformas de automação residencial, como MajorDoMo, estão sendo ativamente exploradas, com vulnerabilidades que permitem execução remota de código e injeção de backdoors.

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) declarou oficialmente que os passkeys são uma alternativa superior às senhas tradicionais para autenticação. Os passkeys utilizam chaves criptográficas armazenadas no dispositivo, frequentemente desbloqueadas por biometria, oferecendo maior segurança do que senhas fortes com verificação em duas etapas. A adoção dessa tecnologia já está em andamento, com mais de 50% dos usuários ativos de serviços do Google no Reino Unido tendo um passkey registrado. O NCSC enfatiza que, devido aos avanços na implementação, os passkeys devem ser a primeira escolha dos consumidores para login em serviços digitais. Essa mudança visa simplificar a experiência do usuário e aumentar a segurança, eliminando a necessidade de lembrar senhas complexas. A tecnologia de passkeys, introduzida em 2022, agora é recomendada sem reservas, refletindo a evolução do setor em direção a métodos de autenticação mais robustos e amigáveis.

A Vercel, empresa responsável pelo framework Next.js, anunciou a descoberta de um novo conjunto de contas de clientes comprometidas em um incidente de segurança que permitiu acesso não autorizado a seus sistemas internos. A investigação revelou que algumas contas já apresentavam indícios de comprometimento anterior, possivelmente devido a engenharia social ou malware. O ataque inicial foi atribuído a uma violação na Context.ai, que resultou no controle da conta Google Workspace de um funcionário da Vercel, permitindo que o invasor acessasse o ambiente da Vercel. A análise adicional indicou que um funcionário da Context.ai foi infectado pelo malware Lumma Stealer, sugerindo que esse evento pode ter sido o ponto de partida para a cadeia de ações maliciosas. A Vercel notificou os clientes afetados, mas não divulgou o número exato de contas comprometidas. A situação destaca os riscos associados ao uso de integrações OAuth, que, embora úteis, podem ser exploradas por atacantes para evitar controles de segurança. A velocidade e a capacidade dos atacantes de explorar ambientes internos antes da detecção representam um desafio significativo para as equipes de defesa.

Instituições governamentais da Mongólia foram alvo de um novo grupo de ameaças persistentes avançadas (APT) alinhado à China, identificado como GopherWhisper. De acordo com a empresa de cibersegurança ESET, o grupo utiliza uma variedade de ferramentas, principalmente desenvolvidas em Go, para implantar backdoors e realizar comunicação de comando e controle (C&C) através de serviços legítimos como Discord, Slack e Microsoft 365 Outlook. O grupo foi descoberto em janeiro de 2025, após a identificação de um backdoor inédito chamado LaxGopher em um sistema governamental. Além do LaxGopher, o arsenal do grupo inclui outras famílias de malware, como CompactGopher e RatGopher, que realizam coleta e exfiltração de arquivos. A análise da ESET revelou que cerca de 12 sistemas associados a instituições governamentais mongóis foram infectados, com tráfego de C&C indicando várias outras vítimas. A forma como o GopherWhisper obtém acesso inicial às redes ainda não é clara, mas uma vez dentro, o grupo tenta implantar uma gama de ferramentas maliciosas. A pesquisa sugere que o grupo opera durante o horário comercial da China, reforçando a suspeita de sua origem.

Uma investigação realizada pela empresa de cibersegurança Infrawatch revelou a existência de 94 fazendas de SIM em 17 países, conectadas a 35 operadoras móveis, incluindo grandes redes do Reino Unido e dos Estados Unidos. Essas fazendas, que consistem em racks de cartões SIM controlados remotamente, são utilizadas para contornar sistemas de verificação baseados em telefone, como senhas de uso único enviadas por SMS. A infraestrutura é operada por uma empresa baseada na Bielorrússia, chamada ProxySmart, que fornece acesso a serviços de conectividade móvel em várias regiões. A pesquisa destacou que essas fazendas são promovidas em fóruns online e aceitam pagamentos em criptomoedas, dificultando a identificação de usuários maliciosos. A análise técnica revelou que a plataforma ProxySmart permite a rotação automática de IPs e o controle remoto de dispositivos, aumentando a dificuldade de detecção por parte das operadoras. A descoberta de tais operações levanta preocupações sobre a segurança das redes móveis e a exposição de organizações e usuários a fraudes e abusos online. A investigação foi compartilhada com autoridades de segurança antes da publicação, ressaltando a necessidade de ações mais rigorosas contra esse tipo de crime.

Uma nova operação de ransomware chamada Kyber está atacando sistemas Windows e endpoints VMware ESXi, com uma variante utilizando criptografia pós-quântica Kyber1024. A empresa de cibersegurança Rapid7 analisou duas variantes do Kyber em março de 2026, ambas implantadas na mesma rede, sendo uma focada em VMware ESXi e a outra em servidores de arquivos Windows. A variante ESXi é projetada para ambientes VMware, permitindo a criptografia de datastores e a desfiguração de interfaces de gerenciamento. Por outro lado, a variante Windows, escrita em Rust, possui uma funcionalidade experimental para atacar máquinas virtuais Hyper-V. Embora a variante Linux do ransomware afirme usar criptografia pós-quântica, na prática, utiliza ChaCha8 e RSA-4096 para a criptografia de arquivos. Já a variante Windows realmente implementa Kyber1024, mas apenas para proteger chaves simétricas, enquanto a criptografia de dados é realizada pelo AES-CTR. Ambas as variantes visam eliminar caminhos de recuperação de dados, como a exclusão de cópias de sombra e a desativação de serviços de backup. Até o momento, apenas uma vítima foi identificada, um grande contratante de defesa e serviços de TI dos EUA.

Uma nova campanha de malware baseada no Mirai está explorando a vulnerabilidade de injeção de comando CVE-2025-29635, que afeta roteadores D-Link DIR-823X. Essa falha permite que atacantes executem comandos arbitrários em dispositivos remotos ao enviar uma requisição POST para um endpoint vulnerável, resultando em execução remota de comandos (RCE). A Akamai SIRT, que detectou a campanha em março de 2026, informa que, apesar de a vulnerabilidade ter sido divulgada há 13 meses, esta é a primeira vez que a exploração ativa foi observada. Os atacantes estão utilizando requisições POST para alterar diretórios, baixar um script shell e executá-lo, instalando um malware Mirai chamado ’tuxnokill’, que suporta múltiplas arquiteturas e possui capacidades de ataque DDoS. Além disso, a campanha também explora outras vulnerabilidades em roteadores TP-Link e ZTE. Os dispositivos afetados atingiram o fim de vida útil em novembro de 2024, o que significa que é improvável que a D-Link forneça um patch para corrigir a falha. Usuários de roteadores obsoletos são aconselhados a atualizar para modelos mais novos e seguros.

Pesquisadores de cibersegurança identificaram um novo conjunto de pacotes npm que foram comprometidos para disseminar um worm auto-replicante, utilizando tokens de desenvolvedor roubados. Denominado CanisterSprawl, o malware foi detectado pelas empresas Socket e StepSecurity, que observaram que ele exfiltra dados através de um canister ICP. Os pacotes afetados incluem versões de @automagik/genie, @fairwords/loopback-connector-es, entre outros. O malware é ativado durante a instalação, utilizando um hook postinstall para roubar credenciais e segredos de ambientes de desenvolvimento, que são então usados para enviar versões contaminadas dos pacotes para o registro. Informações capturadas incluem chaves SSH, credenciais de nuvem e arquivos de configuração do Docker, além de tentativas de acessar dados de navegadores e carteiras de criptomoedas. Além disso, a campanha também inclui lógica de propagação para pacotes Python, ampliando ainda mais seu alcance. Este incidente destaca a crescente ameaça aos ecossistemas de código aberto, com ataques direcionados a plataformas como npm e PyPI, e requer atenção imediata dos profissionais de segurança.

Pesquisadores de cibersegurança alertaram sobre a presença de imagens maliciosas no repositório oficial “checkmarx/kics” do Docker Hub. A empresa de segurança da cadeia de suprimentos Socket revelou que atacantes desconhecidos conseguiram sobrescrever tags existentes, como v2.1.20 e alpine, e introduzir uma nova tag v2.1.21 que não corresponde a uma versão oficial. A análise das imagens comprometidas indica que o binário KICS foi modificado para incluir capacidades de coleta e exfiltração de dados, o que representa um risco significativo para equipes que utilizam KICS para escanear arquivos de infraestrutura como código que podem conter credenciais ou dados de configuração sensíveis. Além disso, ferramentas de desenvolvimento da Checkmarx, como extensões recentes do Microsoft Visual Studio Code, também podem ter sido afetadas, permitindo que código malicioso fosse baixado e executado sem confirmação do usuário. Organizações que utilizaram a imagem KICS comprometida devem considerar qualquer segredo ou credencial exposta como potencialmente comprometida. A Socket sugere que este incidente não é isolado, mas parte de uma violação mais ampla da cadeia de suprimentos que afeta vários canais de distribuição da Checkmarx.

A Microsoft declarou que o Microsoft Defender, antivírus integrado ao Windows 11, é adequado para proteger a maioria dos usuários contra ciberataques. Em um comunicado oficial, a empresa afirmou que, para muitos usuários, o Defender é suficiente para cobrir os riscos diários sem a necessidade de um software antivírus adicional. No entanto, a Microsoft enfatizou que o Defender deve ter a proteção padrão ativada, além de downloads conscientes de software e atualizações regulares do sistema para funcionar de maneira eficaz. Apesar de sua confiança no Defender, a Microsoft reconhece que a adição de um antivírus de terceiros pode ser benéfica, dependendo do uso do PC e das necessidades específicas do usuário, como gerenciamento de múltiplos dispositivos ou controle parental. O Defender é projetado para proteger contra ameaças como phishing e ransomware, mas a empresa também alertou que antivírus adicionais podem sobrecarregar o sistema. A reputação da Microsoft em segurança cibernética é frequentemente questionada, dado o número de malwares que afetam seus sistemas operacionais. Portanto, a escolha de um antivírus adicional deve ser considerada com cautela.

O RAMP (Russian Anonymous Marketplace) foi um fórum de cibercrime que operou de 2021 até sua apreensão pelo FBI em janeiro de 2026. Com mais de 7.700 usuários registrados, o fórum facilitava a venda de acessos a redes corporativas, malware e dados roubados, destacando-se pela sua acessibilidade tanto na rede Tor quanto na clearnet. O acesso a redes corporativas era o foco principal, com 333 threads oferecendo pontos de entrada, sendo o RDP (Remote Desktop Protocol) o tipo mais comum. Os Estados Unidos foram o principal alvo, representando 40% das listagens. O fórum também promovia programas de ransomware como serviço (RaaS), com divisões de lucros que chegaram a 90% para os afiliados. A atividade no fórum aumentou 348% em um ano, indicando uma resiliência após ações de law enforcement. O aumento das listagens de acesso VPN reflete uma mudança nas táticas de ataque, especialmente após a divulgação de vulnerabilidades críticas em produtos populares como Cisco e Fortinet. O RAMP exemplifica a crescente complexidade e a interconexão do cibercrime global, exigindo atenção redobrada das organizações, especialmente em setores críticos como governo, finanças e tecnologia.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético ocorrido em março de 2026 contra o governo local de Rusk County, Wisconsin. Os oficiais do condado relataram um ‘incidente de cibersegurança’ no início de março, que ainda está sob investigação. A confirmação do ataque foi feita pelo Qilin em seu site de vazamento de dados em 21 de abril de 2026, embora o condado não tenha reconhecido oficialmente a reivindicação. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Até agora, em 2026, o Qilin já reivindicou 411 ataques, sendo que 27 organizações confirmaram as invasões. O ataque a Rusk County é o quarto contra entidades governamentais neste ano, destacando uma tendência preocupante de ataques a governos nos EUA. Esses incidentes podem resultar em roubo de dados e paralisação de sistemas, obrigando as autoridades a pagar resgates para restaurar o funcionamento normal. O caso de Rusk County se junta a outros ataques recentes, como os ocorridos em Tulsa, Oklahoma, e Seal Beach, Califórnia.

A Microsoft está prestes a implementar um novo Modo de Eficiência para o Microsoft Teams, destinado a dispositivos com recursos limitados de CPU e memória, visando melhorar a responsividade do aplicativo. De acordo com um comunicado da empresa, essa nova experiência otimizada será ativada por padrão em dispositivos elegíveis e ajustará o uso de recursos com base nas capacidades do dispositivo, melhorando também a qualidade das reuniões. Quando ativado, a resolução de vídeo enviada pela câmera do usuário será ajustada dinamicamente durante as reuniões, e o aplicativo Teams será iniciado sem um chat pré-selecionado, exibindo uma imagem estática na área de mensagens. A implementação começará em maio de 2026 e se estenderá até meados do mesmo mês. Os usuários poderão optar por não usar o modo de eficiência nas configurações do aplicativo. Além disso, a Microsoft está introduzindo melhorias de segurança, como uma nova ferramenta para relatar usuários externos suspeitos e um Relatório de Detecção de Segurança no centro de administração do Teams, que reunirá todas as detecções de segurança de mensagens. Essas melhorias visam ajudar as organizações a responder mais rapidamente a ameaças externas, como phishing e tentativas de impersonalização.

Um novo ataque à cadeia de suprimentos está afetando o ecossistema do Node Package Manager (npm), visando roubar credenciais de desenvolvedores e se espalhar por meio de pacotes publicados a partir de contas comprometidas. Pesquisadores das empresas de segurança Socket e StepSecurity identificaram múltiplos pacotes da Namastex Labs, que fornece soluções baseadas em IA, já comprometidos. As técnicas utilizadas para roubo de credenciais e exfiltração de dados são semelhantes às do ataque CanisterWorm, mas não há evidências suficientes para atribuição confiável. Entre os 16 pacotes comprometidos estão @automagik/genie e pgserve, que são utilizados em ferramentas de IA e operações de banco de dados, indicando que o ataque foca em alvos de alto valor. O código malicioso coleta dados sensíveis, como tokens, chaves de API e credenciais de serviços em nuvem. O malware é descrito como um ‘verme de cadeia de suprimentos’, que pode se propagar rapidamente se as condições forem favoráveis. Os desenvolvedores são aconselhados a tratar todas as versões listadas como maliciosas e a remover imediatamente os pacotes afetados de seus sistemas. Além disso, é recomendado rotacionar todas as credenciais potencialmente expostas.

As chamadas fraudulentas se tornaram uma realidade diária para milhões de pessoas em todo o mundo, com vítimas sendo alvo de agentes que se passam por autoridades, representantes de bancos e suporte técnico. Em 2023, cidadãos idosos nos EUA perderam cerca de US$ 3,4 bilhões devido a esse tipo de crime, que também causa danos emocionais significativos. O conceito de ‘Caller-as-a-Service’ representa uma evolução no cibercrime, onde as operações se tornaram altamente organizadas e profissionais, com papéis bem definidos, como desenvolvedores de malware, analistas de dados e, claro, os próprios scam callers. Esses criminosos agora utilizam táticas de recrutamento sofisticadas, buscando candidatos com habilidades específicas, como fluência em inglês e experiência prévia em fraudes. Além disso, os modelos de compensação variam, podendo incluir pagamentos fixos ou baseados em sucesso, refletindo uma estrutura de mercado que se assemelha a empresas legítimas. Essa profissionalização do crime cibernético não apenas aumenta a eficiência das operações, mas também reduz a barreira de entrada para novos criminosos, tornando a fraude mais acessível e impactante.

A polícia espanhola anunciou a desarticulação da maior plataforma de pirataria de mangás em língua espanhola, que operava desde 2014 e atraía milhões de usuários mensais. A plataforma, que não foi nomeada, oferecia acesso gratuito a obras protegidas por direitos autorais, gerando mais de 4,7 milhões de dólares em receita publicitária, em grande parte através de pop-ups agressivos, muitos dos quais eram de conteúdo pornográfico, o que levanta preocupações sobre a segurança de usuários menores de idade. A investigação, iniciada em junho de 2025, levou a uma operação que incluiu a apreensão de dispositivos de armazenamento com carteiras de criptomoedas, totalizando mais de 470 mil dólares em ativos digitais. A ação também resultou na prisão de um suspeito que estava desenvolvendo um segundo site para continuar as atividades ilegais. A operação teve um impacto internacional significativo, causando danos financeiros e reputacionais a editores e à indústria cultural como um todo.

Em 31 de janeiro de 2026, pesquisadores revelaram que o Moltbook, uma rede social voltada para agentes de IA, deixou seu banco de dados exposto, resultando na divulgação de 35 mil endereços de e-mail e 1,5 milhão de tokens de API de agentes ativos. O problema se agrava com a presença de credenciais de terceiros em mensagens privadas, incluindo chaves da API do OpenAI, armazenadas em tabelas não criptografadas. Essa situação exemplifica uma combinação tóxica de permissões entre aplicações, onde um agente de IA atua como intermediário sem a devida autorização dos proprietários das plataformas. A falta de revisão de acessos entre aplicações contribui para essa vulnerabilidade, já que a maioria das auditorias de acesso ainda se concentra em uma única aplicação, ignorando as interações entre elas. Para mitigar esses riscos, é essencial revisar as concessões de escopo entre aplicativos, manter um inventário de identidades não humanas e monitorar continuamente as anomalias de escopo. Plataformas de segurança dinâmicas, como a Reco, podem ajudar a automatizar essa visão cruzada, permitindo que as organizações identifiquem e revoguem acessos arriscados antes que sejam explorados.

Pesquisadores de cibersegurança identificaram um novo malware, denominado Lotus Wiper, que tem sido utilizado em ataques direcionados ao setor de energia e utilidades na Venezuela. O ataque, que ocorreu no final de 2025 e início de 2026, utiliza scripts em lote para iniciar uma fase destrutiva, desativando defesas do sistema e preparando o ambiente para a execução do wiper. Uma vez implantado, o Lotus Wiper apaga mecanismos de recuperação, sobrescreve conteúdos de drives físicos e exclui arquivos sistematicamente, deixando os sistemas inoperantes. Não há indícios de que os atacantes busquem ganhos financeiros, o que sugere uma motivação política ou estratégica. O malware foi carregado em uma plataforma pública semanas antes de ações militares dos EUA na Venezuela, levantando questões sobre possíveis conexões. A Kaspersky recomenda que organizações monitorem mudanças em compartilhamentos NETLOGON e atividades de escalonamento de privilégios, além do uso de utilitários nativos do Windows que podem ser utilizados para ações destrutivas. O ataque é particularmente preocupante devido à sua natureza direcionada e ao fato de que os atacantes parecem ter conhecimento prévio do ambiente operacional.

O grupo de ciberespionagem conhecido como Harvester lançou uma nova versão do backdoor GoGra, agora direcionada a sistemas Linux, em ataques que visam entidades na Ásia do Sul, especialmente na Índia e no Afeganistão. O malware utiliza a API do Microsoft Graph e caixas de entrada do Outlook como um canal de comando e controle (C2) encoberto, permitindo que ele contorne as defesas tradicionais de rede. A Symantec e a Carbon Black identificaram que o malware é capaz de enganar as vítimas por meio de engenharia social, disfarçando arquivos ELF como documentos PDF. Uma vez instalado, o GoGra se conecta a uma pasta específica no Outlook a cada dois segundos, procurando por mensagens que contenham comandos a serem executados. Após a execução, os resultados são enviados de volta ao operador, enquanto o malware apaga as mensagens originais para evitar detecções. A continuidade do desenvolvimento de ferramentas pelo Harvester indica uma expansão de suas capacidades de ataque, o que representa um risco crescente para organizações que utilizam tecnologias da Microsoft na região.

Richard Horne, chefe do Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido, afirmou que ferramentas de IA, como o Mythos Preview, podem fortalecer as defesas cibernéticas se forem devidamente protegidas. Durante a conferência CyberUK, Horne destacou que a IA de ponta está facilitando a descoberta e exploração de vulnerabilidades existentes em larga escala, permitindo que os defensores se antecipem a cibercriminosos. O Mythos Preview, parte do Projeto Glasswing da Anthropic, demonstrou eficácia ao identificar 271 vulnerabilidades na versão mais recente do navegador Firefox, em comparação com apenas 22 encontradas por um modelo anterior. Essa capacidade de detectar falhas rapidamente pode mudar a dinâmica entre defensores e atacantes, oferecendo uma oportunidade para que as empresas se preparem melhor contra ameaças cibernéticas. Horne enfatizou que, com as regulamentações e salvaguardas adequadas, essas ferramentas de hacking baseadas em IA podem ser um trunfo significativo na luta contra o crime cibernético.

Mais de 1.300 servidores Microsoft SharePoint estão expostos na internet e ainda não foram corrigidos contra uma vulnerabilidade de spoofing, identificada como CVE-2026-32201. Essa falha afeta as versões SharePoint Enterprise Server 2016, SharePoint Server 2019 e a Subscription Edition. A Microsoft, ao lançar um patch em abril de 2026, destacou que a exploração bem-sucedida da vulnerabilidade permite que atacantes sem privilégios realizem spoofing de rede, aproveitando uma fraqueza na validação de entrada. Embora a Microsoft tenha classificado a vulnerabilidade como um zero-day, ainda não foram divulgadas informações sobre como foi explorada em ataques ou se há ligação com grupos de hackers específicos. A Shadowserver alertou que menos de 200 dos servidores vulneráveis foram corrigidos desde o lançamento do patch. A CISA, agência de cibersegurança dos EUA, incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas e ordenou que agências federais aplicassem os patches em um prazo de duas semanas, destacando os riscos significativos que essa vulnerabilidade representa para a segurança federal. Além disso, a CISA também alertou sobre outra vulnerabilidade no Windows Task Host que permite a elevação de privilégios, exigindo atenção imediata das agências.

Uma nova variante do backdoor GoGra, desenvolvida pelo grupo de espionagem Harvester, utiliza a infraestrutura legítima da Microsoft para realizar entregas furtivas de payloads. O malware, que opera em sistemas Linux, se aproveita da API Microsoft Graph para acessar dados de caixas de entrada do Outlook. A análise da Symantec revelou que o acesso inicial é obtido ao enganar as vítimas para que executem arquivos ELF disfarçados de PDFs. Após a autenticação com credenciais do Azure Active Directory, o malware verifica a pasta de e-mails “Zomato Pizza” a cada dois segundos, utilizando consultas OData para identificar mensagens com o assunto “Input”. O conteúdo dessas mensagens é então decifrado e executado localmente, com os resultados sendo enviados de volta ao operador via e-mails com o assunto “Output”. Para aumentar a furtividade, o malware apaga o e-mail original após o processamento. A similaridade do código entre as versões para Linux e Windows sugere que ambas foram criadas pelo mesmo desenvolvedor, reforçando a ideia de que o Harvester está ampliando seu conjunto de ferramentas e escopo de ataque.

A Microsoft confirmou um problema em seu serviço Universal Print, que impede usuários de criar compartilhamentos de impressoras em determinadas situações. O erro, identificado como UP1287359, ocorre devido a uma alteração no código da API Microsoft Graph, que aumentou a latência de replicação do diretório Entra ID e expôs uma condição de corrida preexistente no fluxo de criação de compartilhamento do Universal Print. Como resultado, usuários podem ver erros intermitentes de “Falha ao Compartilhar Impressora” ao tentar criar compartilhamentos com a opção “Permitir todos os usuários da minha organização” ativada ou ao selecionar usuários ou grupos específicos. A Microsoft está implementando uma correção e forneceu um procedimento de mitigação em 13 etapas para ajudar os usuários afetados a contornar o problema até que a solução definitiva seja aplicada. Embora a empresa não tenha especificado quantos usuários ou quais regiões estão impactados, o incidente foi classificado como crítico, dada a sua relevância para os serviços de impressão em nuvem utilizados por clientes do Microsoft 365.

Uma vulnerabilidade crítica foi identificada no Terrarium, um sandbox baseado em Python, que pode permitir a execução de código arbitrário. Classificada como CVE-2026-5752, a falha recebeu uma pontuação de 9.3 no sistema CVSS, indicando seu alto risco. A vulnerabilidade se origina de uma exploração na cadeia de protótipos do JavaScript no ambiente WebAssembly do Pyodide, que possibilita a execução de comandos do sistema com privilégios de root no processo Node.js host. Isso pode permitir que atacantes escapem do sandbox e acessem arquivos sensíveis, como ‘/etc/passwd’, além de potencialmente escalar privilégios e comprometer outros serviços na rede do container. Embora a exploração exija acesso local ao sistema, não requer interação do usuário ou privilégios especiais. O pesquisador de segurança Jeremy Brown descobriu e relatou a falha, e como o projeto não está mais sendo mantido, é improvável que um patch seja disponibilizado. O CERT/CC recomenda que os usuários desativem recursos que permitam o envio de código ao sandbox, segmentem a rede e implementem um firewall de aplicação web para detectar tráfego suspeito. A falha destaca a inadequação do sandbox em prevenir o acesso a protótipos de objetos globais, comprometendo a segurança esperada.

Pesquisadores de cibersegurança identificaram uma nova variante do malware LOTUSLITE, que está sendo distribuído por meio de temas relacionados ao setor bancário da Índia. O malware, que se comunica com um servidor de comando e controle baseado em DNS dinâmico, permite acesso remoto, operações de arquivos e gerenciamento de sessões, indicando que seu uso está mais voltado para espionagem do que para objetivos financeiros. Anteriormente, o LOTUSLITE foi utilizado em ataques de spear-phishing direcionados a entidades governamentais dos EUA, com ligações a um grupo de estado-nação chinês conhecido como Mustang Panda. A nova campanha foca principalmente no setor bancário indiano, utilizando arquivos CHM que incorporam cargas maliciosas. O ataque começa com um arquivo CHM que contém um executável legítimo e uma DLL maliciosa, que, ao ser executada, se conecta a um domínio para receber comandos e exfiltrar dados. Além disso, foram encontrados artefatos semelhantes direcionados a entidades sul-coreanas, sugerindo uma ampliação do escopo de ataque do grupo. Essa evolução no uso do malware e a diversificação dos alvos ressaltam a necessidade de vigilância constante e medidas de segurança robustas, especialmente em setores críticos como o bancário.

Um estudo recente revelou que agentes de inteligência artificial (IA), como o OpenClaw, estão sendo implantados com permissões excessivas, tornando-se alvos fáceis para hackers. A pesquisa identificou mais de 40 mil instâncias do OpenClaw expostas diretamente à internet, com 63% delas vulneráveis a execuções remotas de código. Isso significa que atacantes podem assumir o controle de máquinas sem interação do usuário. As permissões concedidas a esses agentes, que podem acessar e gerenciar e-mails, arquivos e outras funções, são frequentemente configuradas sem as devidas precauções de segurança. Além disso, três vulnerabilidades de alta severidade foram identificadas, com códigos de exploração já disponíveis, facilitando o ataque. A falta de práticas de segurança adequadas durante o desenvolvimento desses sistemas de IA é alarmante, pois muitos usuários não percebem os riscos ao integrar esses agentes em suas rotinas diárias. As autoridades chinesas já restringiram o uso do OpenClaw em ambientes de escritório devido a esses riscos. Especialistas alertam que é crucial que os usuários avaliem cuidadosamente as permissões concedidas a esses sistemas antes de utilizá-los.