Credenciais

Hackers estão utilizando notificações falsas do LinkedIn, disfarçadas como alertas de emprego, para enganar usuários e obter informações sensíveis de login. Pesquisas da Cofense revelam que esses ataques se aproveitam da urgência e curiosidade dos destinatários, levando-os a clicar em links maliciosos. Os e-mails fraudulentos frequentemente imitam comunicados de recrutadores de empresas respeitáveis, utilizando logotipos e formatações convincentes. Domínios como ‘inedin[.]digital’ são criados para parecerem legítimos, aumentando a confiança dos usuários. Além disso, os atacantes personalizam as mensagens com dados pessoais disponíveis publicamente, como endereços residenciais, para aumentar a credibilidade. A análise rápida desses ataques é crucial, pois atrasos podem resultar em credenciais comprometidas. Especialistas recomendam que os usuários verifiquem a autenticidade das notificações do LinkedIn e evitem clicar em links suspeitos. A implementação de softwares antivírus atualizados e a verificação cuidadosa de URLs são medidas essenciais para proteger contra esses ataques.

Em março de 2026, um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP comprometeu pacotes da biblioteca de desenvolvimento de IA LiteLLM, resultando em uma operação sistemática de coleta de credenciais a partir de estações de trabalho de desenvolvedores. O malware, que foi injetado nas versões 1.82.7 e 1.82.8 do LiteLLM disponíveis no PyPI, ativou-se quando os desenvolvedores instalavam ou atualizavam o pacote, coletando chaves SSH, credenciais de nuvem e outras informações sensíveis. Apesar da remoção rápida dos pacotes maliciosos, a análise da GitGuardian revelou que 1.705 pacotes do PyPI estavam configurados para puxar as versões comprometidas como dependências, expondo ainda mais sistemas a riscos.

Uma operação de grande escala de coleta de credenciais foi identificada, utilizando a vulnerabilidade React2Shell como vetor inicial para roubar credenciais de banco de dados, chaves privadas SSH, segredos da Amazon Web Services (AWS), histórico de comandos de shell, chaves da API do Stripe e tokens do GitHub. A Cisco Talos atribuiu essa operação a um grupo de ameaças conhecido como UAT-10608, que comprometeu pelo menos 766 hosts em diversas regiões geográficas e provedores de nuvem. Após o comprometimento, o grupo utiliza scripts automatizados para extrair e exfiltrar credenciais, que são então enviadas para um servidor de comando e controle (C2) que possui uma interface gráfica chamada ‘NEXUS Listener’. Essa interface permite que os operadores visualizem as informações roubadas e realizem análises estatísticas sobre as credenciais coletadas. A campanha visa especificamente aplicações Next.js vulneráveis à falha crítica CVE-2025-55182, que pode resultar em execução remota de código. A amplitude do conjunto de vítimas sugere um padrão de ataque automatizado, utilizando serviços como Shodan para identificar implantações vulneráveis. As organizações são aconselhadas a auditar seus ambientes e implementar práticas de segurança rigorosas para mitigar esses riscos.

Um novo grupo de ameaças cibernéticas, identificado como CL-UNK-1068, tem atacado organizações de alto valor na Ásia, incluindo setores de aviação, energia, governo e tecnologia. A Palo Alto Networks atribui a atividade a um ator de ameaças chinês, com foco em espionagem cibernética. Os ataques utilizam um conjunto diversificado de ferramentas, incluindo malware personalizado e utilitários de código aberto, visando ambientes Windows e Linux. Técnicas como o uso de shells web e a coleta de dados sensíveis, como senhas e arquivos de configuração, foram observadas. Os atacantes também utilizam métodos inovadores para exfiltrar dados, como a codificação Base64 de arquivos, evitando o upload direto. A análise sugere que, apesar do foco em roubo de credenciais e dados sensíveis, não se pode descartar intenções criminosas. A operação é considerada de médio a alto risco, dada a natureza crítica dos setores atacados e a possibilidade de impactos significativos em conformidade com a LGPD.

O grupo de ameaças motivadas financeiramente conhecido como “Diesel Vortex” está realizando ataques de phishing para roubar credenciais de operadores de frete e logística nos EUA e na Europa, utilizando 52 domínios. Desde setembro de 2025, a campanha já resultou no roubo de 1.649 credenciais únicas de plataformas essenciais para a indústria de frete, como DAT Truckstop e Penske Logistics. A análise da plataforma Have I Been Squatted revelou que o grupo opera com uma infraestrutura de phishing dedicada, focando em plataformas de alta transação que não são prioritárias em programas de segurança empresarial. Os ataques envolvem o envio de e-mails de phishing utilizando técnicas como homoglifos cirílicos para evitar filtros de segurança e a criação de páginas de phishing que imitam perfeitamente os sites legítimos. As operações do Diesel Vortex foram parcialmente interrompidas após uma ação coordenada entre várias empresas de segurança cibernética. A pesquisa também indicou conexões com indivíduos e empresas na Rússia, sugerindo uma rede de crime organizado mais ampla. Este incidente destaca a vulnerabilidade do setor de logística e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

O relatório Red Report 2026 da Picus Labs revela uma mudança significativa nas estratégias de ataque cibernético, onde o foco não está mais em ataques destrutivos, como ransomware, mas sim em acessos prolongados e invisíveis. Embora o ransomware continue a ser uma ameaça, a pesquisa indica que a criptografia de dados para causar impacto caiu 38% em um ano, com os atacantes agora preferindo a extorsão de dados como modelo principal de monetização. Isso permite que os sistemas permaneçam operacionais enquanto os atacantes exfiltram informações sensíveis e coletam credenciais. O relatório destaca que a extração de credenciais de armazenamentos de senhas é uma das táticas mais comuns, representando quase 25% dos ataques. Além disso, 80% das técnicas mais utilizadas pelos atacantes priorizam a evasão e a persistência, com malware se comportando como parasitas digitais, operando silenciosamente e evitando detecções. A evolução do malware, que agora é capaz de evitar ambientes de análise, reflete uma lógica mais sofisticada dos atacantes, que se adaptam rapidamente às defesas. Apesar das expectativas em torno da inteligência artificial, os dados mostram que as técnicas tradicionais ainda dominam, com pouca inovação significativa no uso de IA para ataques.

Uma análise abrangente realizada por pesquisadores da Flare em 2025 revelou que mais de 10.000 imagens de contêineres no Docker Hub continham segredos expostos, como chaves de API, tokens de nuvem e credenciais de CI/CD. Esses vazamentos, muitas vezes não intencionais, ocorrem em repositórios públicos e representam falhas estruturais na forma como o software moderno é construído e operado. Um exemplo alarmante foi o vazamento de credenciais que comprometeu 165 organizações durante o incidente da Snowflake em 2024, onde credenciais antigas foram utilizadas por atacantes para acessar dados sensíveis. Outro caso notável foi a exposição de um token do GitHub da Home Depot, que permaneceu ativo por mais de um ano, permitindo acesso a sistemas internos críticos. Esses incidentes destacam a necessidade urgente de monitoramento e governança de identidades não humanas (NHIs), que são essenciais para a automação e operação de serviços em nuvem. A falta de gestão adequada dessas credenciais pode resultar em acessos não autorizados e danos significativos às organizações. Portanto, a segurança das NHIs deve ser uma prioridade nas estratégias de cibersegurança das empresas.

Uma nova campanha de phishing tem utilizado o Google Cloud para roubar credenciais de login de empresas em todo o mundo, conforme identificado por pesquisadores da Check Point. O ataque já afetou mais de 3 mil organizações, com a maioria das vítimas localizadas nos Estados Unidos, Brasil e México. Os hackers exploram a ferramenta Google Cloud Application Integration para enviar e-mails maliciosos que parecem legítimos, utilizando domínios reais do Google. Isso permite que os filtros de segurança não sejam acionados, levando os funcionários a clicarem em links fraudulentos.

Um novo relatório da Cyble Research and Intelligence Labs (CRIL) revela uma campanha de phishing em larga escala que utiliza arquivos HTML com JavaScript embutido para roubar credenciais de usuários. Ao invés de redirecionar as vítimas para URLs maliciosas, os hackers enviam e-mails com anexos que imitam páginas de login da Adobe e Microsoft. Esses arquivos, que aparentam ser comunicações comerciais legítimas, como solicitações de cotações, contêm um prompt central para login que coleta informações de acesso e as envia para bots controlados pelos atacantes via Telegram.

Uma nova campanha de phishing está explorando a infraestrutura confiável do Facebook para roubar credenciais de negócios em larga escala. Pesquisadores da Check Point descobriram que atacantes estão utilizando o domínio facebookmail.com e o recurso de convite do Meta Business Suite para enviar dezenas de milhares de e-mails de phishing convincentes, conseguindo contornar filtros de segurança tradicionais. Os e-mails, que parecem notificações legítimas do Meta, têm linhas de assunto urgentes como ‘Convite de Parceiro da Meta’ e são enviados de endereços autênticos, eliminando um dos principais sinais de alerta para os usuários.

Uma nova campanha de phishing está atacando clientes do GMO Aozora Bank, no Japão, utilizando uma técnica antiga chamada Autenticação Básica para disfarçar URLs maliciosas. Pesquisadores da Netcraft identificaram várias URLs de phishing que imitam sites bancários legítimos, redirecionando os usuários para domínios maliciosos que coletam credenciais de login. A Autenticação Básica, um protocolo web obsoleto, permite que atacantes insiram o nome de um domínio confiável na seção de nome de usuário, fazendo com que o verdadeiro destino do link apareça após o símbolo ‘@’. Essa manobra engana os usuários, especialmente em dispositivos móveis, onde os URLs podem ser truncados. Durante a investigação, foram encontrados 214 URLs de phishing únicas, com 71,5% direcionadas a usuários ou empresas japonesas. A campanha destaca como a compatibilidade com recursos web desatualizados pode ser explorada por grupos de phishing modernos. A Netcraft recomenda que as organizações eduquem os usuários sobre os riscos de URLs com credenciais embutidas e implementem políticas de inspeção de URLs para sinalizar a presença do símbolo ‘@’.

A equipe de pesquisa de ameaças da Socket revelou uma sofisticada campanha de phishing chamada ‘Beamglea’, que utilizou 175 pacotes npm maliciosos para atacar mais de 135 empresas industriais, de tecnologia e de energia em todo o mundo. Esses pacotes acumularam mais de 26.000 downloads, servindo como infraestrutura para ataques de coleta de credenciais. A campanha explorou o registro público do npm e a rede de entrega de conteúdo do unpkg.com para hospedar scripts de redirecionamento que direcionavam as vítimas a páginas de phishing. Diferente dos ataques tradicionais de cadeia de suprimentos, esses pacotes não executam código malicioso ao serem instalados, mas abusam do npm como uma infraestrutura gratuita para ataques de phishing. Os atacantes desenvolveram ferramentas em Python para automatizar a geração e distribuição dos pacotes, utilizando nomes aleatórios e injetando endereços de e-mail das vítimas. A análise identificou mais de 630 iscas de phishing em HTML, disfarçadas como documentos de negócios. A campanha teve como alvo principalmente empresas de manufatura, tecnologia e energia, com foco geográfico na Europa Ocidental. As organizações devem redefinir senhas, habilitar autenticação multifatorial e revisar logs de e-mail para mitigar riscos.

Recentemente, um sofisticado ataque de phishing tem utilizado notificações de documentos do Zoom para enganar candidatos a emprego e roubar credenciais do Gmail. O ataque começou com um e-mail que parecia legítimo, passando por verificações de segurança como SPF, DKIM e DMARC, e que parecia vir de um endereço confiável. Os destinatários recebiam uma notificação do Zoom informando que ‘departamentos de RH’ os convidavam a visualizar documentos. Ao clicar no link, os usuários eram redirecionados para um domínio falso, onde um ‘gate de proteção contra bots’ os induzia a acreditar que estavam em um site seguro. Após uma breve interação, eram levados a uma página de login falsa do Gmail, onde suas credenciais eram capturadas em tempo real. Os atacantes utilizavam uma conexão WebSocket para transferir as informações imediatamente para seus servidores. Para se proteger, os usuários devem mudar suas senhas e ativar a autenticação em duas etapas. Além disso, é crucial que as organizações monitorem e bloqueiem domínios maliciosos e eduquem seus funcionários sobre os riscos de phishing.

Um novo ataque de phishing está direcionando usuários do Gmail, onde cibercriminosos se fazem passar por recrutadores do Google Careers. Desde setembro de 2025, essa campanha utiliza e-mails enganosos com cabeçalhos que parecem legítimos, vinculados a serviços como Salesforce e Cloudflare, para aumentar a confiança das vítimas. Os e-mails contêm um botão que redireciona para um portal falso do Google Careers, hospedado em um domínio que imita a página oficial, solicitando informações pessoais e credenciais do Gmail. O código JavaScript da página captura os dados e os envia para um servidor de comando e controle. Pesquisadores identificaram uma infraestrutura maior, com múltiplos domínios relacionados, sugerindo uma operação coordenada de phishing como serviço. Especialistas recomendam que os usuários estejam atentos a e-mails de recrutamento não solicitados e verifiquem sempre as comunicações através de portais oficiais. Essa onda de phishing demonstra a crescente sofisticação dos atacantes em combinar infraestrutura confiável e imitação de marcas para comprometer contas em larga escala.

Pesquisadores de segurança da MailMarshal SpiderLabs descobriram uma sofisticada campanha de phishing que explora o sistema de aviso de URL externo do Facebook para coletar credenciais de login dos usuários. Os atacantes abusam do mecanismo de redirecionamento da plataforma, criando links aparentemente legítimos que levam a portais de login fraudulentos. Ao clicar em um link de uma postagem ou mensagem do Facebook, o usuário vê um aviso que ainda exibe o domínio registrado, criando uma falsa sensação de segurança. Após inserir suas credenciais em uma página de login que imita o Facebook, os dados são enviados em tempo real para os servidores dos atacantes.

A Microsoft, por meio de sua Unidade de Crimes Digitais (DCU), desmantelou uma operação de cibercrime chamada RaccoonO365, que se destacou como uma das ferramentas mais rápidas para roubo de credenciais do Microsoft 365. Com uma ordem judicial do Distrito Sul de Nova York, a empresa conseguiu desativar 338 sites associados a essa plataforma de phishing como serviço, interrompendo a infraestrutura técnica utilizada pelos criminosos. Desde julho de 2024, a RaccoonO365 comprometeu pelo menos 5.000 credenciais em 94 países, com um foco alarmante em organizações de saúde nos EUA, onde 20 delas foram atacadas. O serviço, que permite que indivíduos com pouca experiência técnica realizem campanhas de roubo de credenciais, utiliza branding autêntico da Microsoft para enganar os usuários. A operação foi liderada por Joshua Ogundipe, um programador da Nigéria, que comercializava seus serviços via Telegram e recebeu cerca de $100.000 em pagamentos em criptomoeda. A evolução da RaccoonO365 inclui o uso de inteligência artificial para aumentar a eficácia dos ataques, destacando a crescente preocupação com ferramentas de cibercrime aprimoradas por IA. A Microsoft colaborou com parceiros de segurança e utilizou ferramentas de análise de blockchain para rastrear transações de criptomoeda, enquanto encaminhou Ogundipe para as autoridades internacionais.

Um novo ataque cibernético, denominado GhostAction, comprometeu mais de 3.300 chaves de acesso e credenciais no GitHub, conforme revelado pela empresa de segurança GitGuardian. O ataque, que começou a ser detectado em 2 de setembro de 2025, utiliza uma técnica que insere arquivos maliciosos no fluxo de trabalho do GitHub Actions, permitindo que os hackers leiam e enviem chaves de programação armazenadas em ambientes de projetos para servidores externos. Até o momento, foram identificados 817 repositórios afetados, abrangendo pacotes npm e PyPl, e comprometendo credenciais de serviços como AWS e Cloudflare. A GitGuardian notificou o GitHub e outras plataformas sobre a situação, e recomenda que os usuários afetados revoguem suas credenciais imediatamente para evitar a publicação de versões maliciosas de seus softwares. O ataque é semelhante a um incidente anterior, mas não há evidências de conexão entre eles. A situação destaca a vulnerabilidade da cadeia de abastecimento de software e a necessidade de vigilância constante por parte dos desenvolvedores e empresas que utilizam o GitHub.

Um novo ataque de phishing tem utilizado a plataforma AppSheet do Google para roubar credenciais de usuários. Os hackers registram contas no AppSheet e enviam notificações automatizadas que imitam alertas legítimos de sistemas, utilizando e-mails que parecem autênticos e que passam por verificações de segurança como SPF, DKIM e DMARC. Os e-mails contêm links encurtados que redirecionam as vítimas para uma cópia falsa do portal de login do Google Workspace. Uma vez que as credenciais são inseridas, elas são imediatamente coletadas pelos atacantes. Em março de 2025, 10,88% dos e-mails de phishing globalmente utilizaram a infraestrutura do AppSheet. As defesas tradicionais falham em detectar esses ataques, pois confiam na reputação da infraestrutura do Google. Para mitigar esses riscos, é necessário implementar análises contextuais que possam identificar discrepâncias entre o remetente e o conteúdo da mensagem, além de políticas dinâmicas que monitorem interações típicas entre serviços e usuários.

Um ataque cibernético conhecido como GhostAction comprometeu 327 usuários do GitHub e 817 repositórios, destacando a sofisticação dos atacantes em manter a infraestrutura maliciosa apenas pelo tempo necessário para coletar credenciais. A análise da GitGuardian revelou que a infraestrutura foi desativada rapidamente após o início das divulgações, indicando um nível profissional de inteligência de ameaças. O ataque não apresentou sobreposição com a recente campanha S1ngularity, sugerindo que diferentes grupos de ameaças estão operando de forma independente. A resposta imediata de organizações e registros de pacotes, como o PyPI, que rapidamente colocou projetos comprometidos em modo somente leitura, ajudou a evitar uma contaminação generalizada da cadeia de suprimentos de software. O incidente ressalta a importância da gestão de segredos em ambientes de CI/CD e a necessidade de monitoramento de segurança aprimorado nos fluxos de trabalho do GitHub Actions. As organizações devem implementar varreduras de segurança abrangentes, rotacionar credenciais comprometidas imediatamente e monitorar modificações não autorizadas nos fluxos de trabalho para prevenir ataques semelhantes.

Em 26 de agosto de 2025, o popular ferramenta de construção Nx foi alvo de um ataque sofisticado de cadeia de suprimentos, resultando na exfiltração de milhares de credenciais de desenvolvedores. Pesquisadores de segurança da GitGuardian identificaram a campanha maliciosa, chamada ‘s1ngularity’, que infectou pacotes Nx no npm com malware projetado para roubar credenciais. Em poucos dias, os atacantes conseguiram coletar mais de 2.300 segredos, incluindo tokens do GitHub, chaves de autenticação do npm e credenciais da AWS.

A Microsoft lançou uma nova funcionalidade de segurança baseada em inteligência artificial no Defender for Identity, que visa mitigar uma vulnerabilidade crítica relacionada ao armazenamento de credenciais em texto simples no Active Directory. A pesquisa da empresa revelou que mais de 40.000 credenciais estavam expostas em 2.500 locatários, evidenciando a gravidade do problema. Essa vulnerabilidade surge do uso inadequado de campos de texto livre, onde administradores frequentemente armazenam senhas e tokens de autenticação para facilitar a resolução de problemas e a integração de sistemas. Isso cria alvos valiosos para cibercriminosos, especialmente em contas de identidade não humanas, que não podem utilizar métodos tradicionais de autenticação multifatorial. A nova arquitetura de detecção da Microsoft combina varredura abrangente do diretório com uma análise contextual, reduzindo falsos positivos e garantindo alertas acionáveis para as equipes de segurança. A funcionalidade já está disponível em versão pública para todos os clientes do Defender for Identity, permitindo que as organizações identifiquem e corrijam configurações inadequadas antes que possam ser exploradas.