Google

Campanha de phishing finge ser marcas famosas para roubar credenciais

Uma nova campanha de phishing está se passando por mais de 30 marcas conhecidas, como Adobe, Netflix e Coca-Cola, visando profissionais de marketing para roubar credenciais de contas do Google. Os atacantes utilizam a plataforma legítima PeopleForce e um domínio associado ao Salesforce Marketing Cloud para redirecionar as vítimas a uma página de captura maliciosa. Para aumentar a credibilidade, os e-mails de phishing usam nomes e fotos de recrutadores reais das empresas impersonadas. A análise de Will Thomas, da Team Cymru, revelou que a campanha utiliza pelo menos 34 domínios, abrangendo setores como aviação, alimentos, vestuário e tecnologia. Os e-mails, que inicialmente usavam endereços do Outlook, solicitam que as vítimas agendem entrevistas, levando-as a uma página que imita o login do Google. Embora não esteja claro como os atacantes acessaram as plataformas legítimas, a possibilidade de criação de contas genuínas ou uso de logins comprometidos é considerada. A operação já está em andamento há pelo menos cinco meses, destacando a necessidade de vigilância constante contra esse tipo de ameaça.

Operação conjunta desmantela rede de proxies residenciais NetNut

Uma operação coordenada envolvendo o Google e outras entidades, como o FBI, resultou na desarticulação da NetNut, uma rede de proxies residenciais que controlava milhões de dispositivos Android comprometidos, incluindo TVs inteligentes e caixas de streaming. Conhecida também como Popa, a botnet NetNut permitia que cibercriminosos ocultassem suas atividades maliciosas utilizando endereços IP residenciais legítimos. Estima-se que a rede seja composta por pelo menos dois milhões de dispositivos infectados, que se tornaram parte da botnet após serem contaminados por malware, seja pré-instalado ou baixado por meio de aplicativos maliciosos. A operação resultou na apreensão de domínios utilizados pela NetNut e na desativação de contas e serviços que os operadores da botnet utilizavam para controle de malware. O Google também implementou medidas de proteção para alertar usuários e desativar aplicativos infectados. A desarticulação da NetNut pode ter um impacto significativo na indústria de proxies, uma vez que muitos serviços populares dependem dessa rede. O Google já havia realizado ações semelhantes anteriormente, visando desmantelar botnets de proxies residenciais.

Google desmantela rede NetNut, uma das maiores botnets de proxy residencial

O Google, em colaboração com o FBI e outras entidades, anunciou a degradação significativa da NetNut, uma das maiores redes que transforma dispositivos residenciais em proxies alugados para tráfego de terceiros. A NetNut, também conhecida como Popa, é uma rede global que abrange pelo menos 2 milhões de dispositivos, incluindo TVs inteligentes e caixas de streaming. Quando um dispositivo da NetNut está em uma residência, criminosos podem redirecionar seu tráfego pela conexão de internet do usuário, comprometendo sua privacidade e segurança. A rede opera através da venda de acesso a endereços IP residenciais, permitindo que atacantes ocultem sua localização real. A empresa por trás da NetNut, a Alarum Technologies, nega a classificação de botnet, alegando que seu software é para compartilhamento de largura de banda consentido. No entanto, pesquisas indicam que os aplicativos associados não informam os usuários sobre esse consentimento. O Google alerta que a degradação da NetNut não é um desmantelamento definitivo, pois a rede possui um programa de revenda que permite que outras empresas comercializem o mesmo pool de dispositivos, tornando a situação complexa e resiliente. Para os consumidores, recomenda-se cautela ao usar aplicativos que prometem pagamento por largura de banda não utilizada e a compra de dispositivos de marcas conhecidas.

Corte da UE rejeita apelação final do Google sobre multa antitruste

O Tribunal de Justiça da União Europeia (TJUE) confirmou a decisão da Comissão Europeia que impôs uma multa de €4,1 bilhões (cerca de $4,7 bilhões) ao Google por práticas anticompetitivas relacionadas ao sistema operacional Android. A Comissão havia determinado que o Google abusou de sua posição dominante ao exigir que fabricantes de dispositivos pré-instalassem o Google Search e o Chrome para licenciar a Play Store, além de proibir a venda de dispositivos com versões do Android não aprovadas. Embora o Tribunal Geral tenha reduzido a multa original, o TJUE sustentou que as práticas do Google restringem a concorrência e fortalecem sua posição no mercado. Em resposta, o Google argumentou que o Android promove a escolha do consumidor e que suas práticas foram adaptadas desde 2018 para atender às exigências da Comissão. A empresa também destacou a concorrência com o iOS da Apple e a intensa competição entre fabricantes de dispositivos Android. Este caso levanta questões importantes sobre a regulação de grandes plataformas tecnológicas e suas implicações para o mercado global de tecnologia.

Google implementa novos controles de privacidade para serviços de busca

O Google anunciou a implementação de novos controles de privacidade para seus serviços de busca e Google Play, permitindo que os usuários tenham maior controle sobre o histórico salvo e as recomendações personalizadas. Em um e-mail enviado aos usuários, a empresa destacou que as novas configurações serão visíveis nas contas do Google nos próximos dias. As mudanças incluem a separação das configurações de histórico de serviços de busca e recomendações personalizadas, permitindo que os usuários decidam se desejam que suas atividades sejam salvas e se desejam personalização com base nesses dados. O histórico de serviços de busca abrangerá atividades em serviços como Pesquisa, Maps, Shopping, e Translate, e incluirá também interações visuais e de áudio. Embora o Google afirme que as novas configurações oferecem mais controle, é importante que os usuários revisem suas configurações, especialmente se a atividade da Web e do aplicativo estiver ativada. As novas opções também se estenderão ao Google Play, refletindo as escolhas anteriores dos usuários sobre a duração do armazenamento de histórico. Essa mudança pode ser vista como uma forma de aprimorar a experiência do usuário, mas também levanta questões sobre privacidade e uso de dados.

Nova vulnerabilidade em CICD compromete cadeias de suprimento

Pesquisadores de cibersegurança identificaram uma nova classe de vulnerabilidades em fluxos de trabalho de CI/CD, chamada Cordyceps, que permite a atacantes sequestrar workflows e comprometer cadeias de suprimento de código aberto. A falha, que pode ser explorada por qualquer usuário não autenticado, afeta grandes organizações como Microsoft, Google, Apache e Cloudflare. Um estudo da Novee Security revelou que mais de 300 repositórios de alto impacto são totalmente exploráveis, possibilitando execução de código controlada por atacantes, roubo de credenciais e comprometimento da cadeia de suprimento. O problema central reside em configurações fracas de CI/CD que concedem permissões excessivas a pull requests (PRs), permitindo que dados não confiáveis acionem workflows privilegiados. Exemplos incluem um PR no Azure Sentinel da Microsoft que poderia executar código de atacantes e roubar chaves de aplicativos do GitHub. Após a divulgação responsável, Microsoft e Google confirmaram o impacto, enquanto Cloudflare, Python e Apache implementaram correções. Essa vulnerabilidade representa um risco significativo, pois permite que usuários anônimos manipulem repositórios de grandes empresas, afetando a segurança do software em larga escala.

Google inicia verificação de desenvolvedores Android em quatro países

A partir de 30 de setembro de 2026, o Google começará a implementar a verificação de desenvolvedores Android em quatro países: Brasil, Indonésia, Cingapura e Tailândia. Essa medida visa bloquear a instalação de aplicativos de desenvolvedores não registrados em dispositivos Android certificados, que representam mais de 95% dos aparelhos fora da China. O novo serviço, chamado Android Developer Verifier, será instalado em dispositivos com Android 8 ou superior e confirmará se um aplicativo está associado a um desenvolvedor verificado antes da instalação. Aplicativos não registrados ainda poderão ser instalados, mas por meio de métodos mais complexos, como o Android Debug Bridge (ADB), que exigem que o usuário ative o modo desenvolvedor e passe por um processo de autenticação. O Google justifica essa mudança como uma forma de combater o malware, que é mais prevalente em fontes não verificadas. No entanto, a comunidade de código aberto, representada por organizações como o F-Droid, expressou preocupações de que essa exigência pode inviabilizar projetos que dependem de contribuições anônimas. A implementação global está prevista para 2027, mas questões sobre o processo de apelação para desenvolvedores e a manutenção do registro de identidade permanecem sem resposta.

Google usará endereços IP para anúncios na Europa a partir de 2026

O Google notificou anunciantes sobre uma mudança significativa que ocorrerá em 3 de agosto de 2026, quando começará a utilizar endereços IP para medição e personalização de anúncios na Área Econômica Europeia (EEE), no Reino Unido e na Suíça. Essa prática, que já é comum em outras partes do mundo, é nova na EEE e no Reino Unido, onde o endereço IP é considerado dado pessoal sob o Regulamento Geral sobre a Proteção de Dados (GDPR). A mudança implica que os endereços IP, que já são coletados para roteamento de tráfego e entrega de anúncios, passarão a ser utilizados para identificar dispositivos, o que exige consentimento do usuário. O Google também se registrará no IAB Europe Transparency and Consent Framework para a identificação de dispositivos. Embora a empresa afirme que a mudança está alinhada com tecnologias que melhoram a privacidade, a utilização de endereços IP para personalização levanta preocupações sobre a privacidade e o rastreamento de usuários. O Escritório do Comissário de Informação do Reino Unido (ICO) já expressou preocupações sobre essa reversão de política do Google, que anteriormente se opunha ao uso de técnicas de rastreamento como a impressão digital. A mudança pode impactar a conformidade com a LGPD no Brasil, uma vez que práticas semelhantes podem ser adotadas por outras plataformas.

FBI desmantela operação de phishing em larga escala da China

O FBI, em colaboração com o Google e o Black Lotus Labs, desmantelou uma operação de phishing chamada Outsider Enterprise, que utilizava milhares de sites falsos para roubar dados de cartões de crédito e senhas. A operação, que estava ativa desde pelo menos 2023, utilizava inteligência artificial e kits de phishing distribuídos para se passar por marcas confiáveis em mensagens enviadas por operadoras como AT&T, T-Mobile e Verizon. Estima-se que as campanhas de phishing tenham resultado no roubo de mais de 3,8 milhões de registros de cartões de crédito, causando perdas de aproximadamente 1,9 bilhão de dólares. Durante a ação, o FBI apreendeu servidores de administração, uma loja de e-commerce no Shopify e uma conta usada para testar o serviço de phishing. Além disso, foram confiscados cerca de 100 mil USDT de carteiras de pagamento da operação. O Google também processou civilmente a infraestrutura da operação e está colaborando com as operadoras para bloquear mensagens fraudulentas. A empresa destaca que os usuários do Android estão protegidos por defesas baseadas em IA, que detectam e bloqueiam mensagens maliciosas. Essa ação é parte da Operação Riptide do FBI, que visa combater atividades cibernéticas criminosas.

Google processa rede chinesa de cibercrime por uso de IA em phishing

O Google anunciou que está tomando medidas legais contra uma rede de cibercrime chinesa, acusando-a de utilizar seu agente de inteligência artificial, Gemini, para enviar mensagens de phishing direcionadas a cidadãos americanos. A rede é responsável pelo desenvolvimento de um kit de software chamado Outsider, que permite a criação de páginas fraudulentas e o envio de ataques massivos de smishing, ou phishing via SMS. As mensagens, que se passam por marcas legítimas, alertam os usuários sobre ‘problemas em contas de corretagem’ ou oferecem ‘recompensas através de operadoras de telefonia’.

Diretor do Google renuncia por contratos de IA com o Pentágono

René Mayrhofer, diretor de segurança da plataforma Android do Google, renunciou ao seu cargo em protesto contra os novos contratos da empresa com o Departamento de Defesa dos EUA (DoD). Em uma carta interna, ele expressou sua preocupação com a utilização dos modelos de inteligência artificial (IA) da empresa para fins classificados, afirmando que a gestão atual do Google havia perdido seu ’norte moral’. Mayrhofer destacou que a decisão de colaborar com o Pentágono contraria os princípios éticos que a empresa havia estabelecido anteriormente, incluindo a proibição de usar IA para desenvolver armas ou ferramentas de vigilância. O Google, que já havia abandonado suas metas de neutralidade de carbono em favor do desenvolvimento de IA, agora permite que o DoD utilize seus modelos para ‘qualquer propósito legal’, o que, segundo Mayrhofer, pode incluir ações que violam leis internacionais. A renúncia de Mayrhofer ocorre em um contexto em que centenas de funcionários do Google já haviam assinado uma carta aberta pedindo ao CEO Sundar Pichai que rejeitasse essa decisão, considerada ‘antiética e perigosa’. A situação levanta questões sobre a responsabilidade das empresas de tecnologia em suas colaborações com entidades governamentais e militares.

Google corrige vulnerabilidade crítica do Chrome explorada na web

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade zero-day no Chrome, identificada como CVE-2026-11645, que estava sendo explorada ativamente. Essa é a quinta falha desse tipo corrigida pela empresa em 2023. A vulnerabilidade, que afeta o motor JavaScript V8 do Chrome, permite que atacantes remotos executem código arbitrário através de páginas HTML manipuladas, comprometendo a segurança do navegador. A atualização já está disponível para usuários de Windows, Mac e Linux, embora o Google tenha alertado que a distribuição completa pode levar dias ou semanas. Além disso, a empresa está ciente de outras vulnerabilidades zero-day, como a CVE-2024-0519, mas não forneceu detalhes adicionais sobre ataques relacionados. Desde o início do ano, o Google já corrigiu outras quatro falhas críticas, destacando a necessidade de vigilância constante em relação à segurança do navegador. Os usuários são incentivados a atualizar manualmente ou confiar na atualização automática do Chrome para garantir a proteção contra essas ameaças.

Ataques Cibernéticos e Vulnerabilidades O Que Aconteceu na Última Semana

Na última semana, o cenário de cibersegurança foi marcado por incidentes significativos, incluindo o ataque do Miasma Worm a 73 repositórios do GitHub da Microsoft, que levou a empresa a desabilitar o acesso a essas áreas. Além disso, a Google lançou patches para 124 vulnerabilidades no Android, incluindo uma falha crítica (CVE-2025-48595) que está sendo ativamente explorada, permitindo escalonamento de privilégios sem interação do usuário. O Departamento de Justiça dos EUA também anunciou a desarticulação de esquemas de fraude cibernética, resultando na remoção de milhões de contas usadas por grupos criminosos. Outro destaque foi a espionagem de um executivo de uma bolsa de valores, que teve seu e-mail monitorado por cinco meses, levantando preocupações sobre a segurança de dados sensíveis. Por fim, um novo grupo de cibercrime ligado à China, TA4922, expandiu suas operações para a Europa e África, utilizando táticas variadas de ataque. Esses eventos ressaltam a necessidade urgente de vigilância e atualização de sistemas de segurança, especialmente em um ambiente onde as ameaças estão se tornando cada vez mais sofisticadas e rápidas.

Vulnerabilidade no Google Gemini permite ataques via notificações

Um estudo recente revelou uma vulnerabilidade crítica no assistente de voz Google Gemini, que pode ser explorada através de notificações maliciosas enviadas por aplicativos como WhatsApp, Slack e Instagram. A pesquisa, conduzida pela SafeBreach, demonstrou que um único aviso envenenado poderia permitir que um invasor assumisse o controle do assistente, abrindo janelas conectadas, enviando mensagens falsas em nome de contatos e até mesmo iniciando chamadas de vídeo no Zoom. O ataque, denominado ‘Fake Context Alignment’, utiliza técnicas de injeção de comandos que enganam o assistente ao interpretar notificações hostis como instruções legítimas. Embora o Google tenha corrigido a falha, a vulnerabilidade destaca a necessidade de vigilância contínua em dispositivos Android, onde o Gemini possui acesso a notificações. A pesquisa não encontrou evidências de que a técnica tenha sido utilizada em ataques reais, mas a possibilidade de controle remoto de dispositivos inteligentes e a persistência de informações envenenadas representam riscos significativos para a segurança dos usuários. Os usuários podem mitigar o risco desativando a leitura de notificações pelo assistente, mas a questão da segurança em assistentes de voz continua a ser uma preocupação crescente.

Google lança recurso de segurança para detectar chamadas falsas no Android

O Google está implementando uma nova funcionalidade de segurança no Android chamada ‘detecção de chamadas falsas’, que visa identificar e sinalizar chamadas em que golpistas utilizam inteligência artificial para se passar por contatos pessoais do usuário. A funcionalidade, que será ativada por padrão, está sendo lançada globalmente para dispositivos com Android 12 e versões posteriores, começando pelos dispositivos Pixel.

Quando um contato faz uma chamada, o dispositivo envia um sinal de confirmação silencioso e criptografado em tempo real para o dispositivo do destinatário. Se esse sinal não for enviado, indicando que a chamada pode ser falsificada, o dispositivo do destinatário verifica com o telefone real do contato. Se a confirmação indicar que o contato não está fazendo uma chamada, o destinatário recebe um alerta na tela para desligar imediatamente.

Google corrige 124 vulnerabilidades críticas no Android em junho de 2026

No início de junho de 2026, o Google lançou patches para 124 vulnerabilidades de segurança no sistema operacional Android, destacando uma falha de alta severidade, identificada como CVE-2025-48595, com um escore CVSS de 8.4. Essa vulnerabilidade, que permite a escalada de privilégios sem interação do usuário, afeta dispositivos que executam as versões 14, 15, 16 e 16 QPR2 do Android. Segundo a descrição da falha, um estouro de inteiro em múltiplos locais pode possibilitar a execução de código, resultando em uma escalada local de privilégios. O Google indicou que há sinais de exploração ativa, embora não tenha fornecido detalhes sobre os responsáveis ou os alvos. Além disso, outras vulnerabilidades foram corrigidas no componente do sistema, algumas das quais também podem levar a escaladas de privilégios. O Google disponibilizou dois conjuntos de patches, com o segundo incluindo correções para componentes de kernel e chipsets de terceiros, como MediaTek e Qualcomm. A situação exige atenção, especialmente considerando que falhas semelhantes têm sido utilizadas por fornecedores de spyware comercial para atacar indivíduos de alto perfil.

Engenheiro da Google é acusado de insider trading com dados confidenciais

Michele Spagnuolo, engenheiro de segurança da Google, foi acusado de insider trading após lucrar US$ 1,2 milhão utilizando informações confidenciais da empresa. Ele teria acessado dados internos do Google, especificamente do relatório ‘Year in Search’, para fazer apostas na plataforma de previsão descentralizada Polymarket. Spagnuolo, que trabalha na Google desde 2014 e reside na Suíça, usou um pseudônimo, ‘AlphaRaccoon’, para realizar suas apostas com uma precisão quase perfeita em cerca de 25 resultados improváveis. Após a divulgação pública dos dados em 4 de dezembro de 2025, ele recebeu aproximadamente US$ 1,2 milhão em ganhos. O FBI rastreou sua conta até um processador de pagamentos registrado em seu nome. As autoridades alegam que ele moveu os lucros ilegais através de serviços de troca de criptomoedas. O caso destaca a seriedade das violações de confidencialidade corporativa e as consequências legais que podem advir, incluindo penas de até 20 anos de prisão por fraude e lavagem de dinheiro.

Google lança recurso de segurança para proteger sessões no Chrome

O Google anunciou que a funcionalidade Chrome Device Bound Session Credentials (DBSC) está agora disponível para todos os usuários, com o objetivo de prevenir o sequestro de contas. Desde abril, a DBSC estava em versão beta e foi projetada para vincular criptograficamente os cookies de sessão a um dispositivo específico, dificultando o uso de cookies roubados por hackers para contornar a autenticação multifatorial (MFA). A tecnologia utiliza chaves públicas e privadas geradas por chips de segurança do hardware, como o Trusted Platform Module (TPM) em Windows e o Secure Enclave em macOS, garantindo que essas chaves não possam ser roubadas. Com a DBSC, mesmo que um malware esteja presente no dispositivo do usuário, o risco de roubo de sessão é reduzido, tornando mais difícil para os atacantes explorarem cookies de sessão furtados. A funcionalidade será ativada por padrão para todos os clientes do Google Workspace, e os administradores não poderão desativá-la. O Google também destacou que a DBSC representa uma mudança significativa na defesa contra ameaças, passando de uma abordagem reativa para uma preventiva. Essa inovação é especialmente relevante em um cenário onde ataques a cookies de autenticação têm sido uma preocupação crescente.

Google lança recurso de registro de intrusões para Android

O Google anunciou uma nova funcionalidade chamada Intrusion Logging, disponível no modo de proteção avançada do Android, que permite o registro forense de atividades em dispositivos para análise de ataques sofisticados de spyware. Desenvolvido em parceria com a Anistia Internacional e Repórteres Sem Fronteiras, o recurso registra atividades diárias do dispositivo, como comportamento de aplicativos, conexões de rede e transferências de arquivos. Os dados são criptografados de ponta a ponta e armazenados em servidores do Google, garantindo que nem mesmo a empresa tenha acesso a eles, exceto o proprietário do dispositivo. Os registros são mantidos por 12 meses e podem ser baixados offline, mas uma vez baixados, a segurança dos dados fica sob responsabilidade do usuário. A funcionalidade também registra eventos de navegação no Chrome em modo incógnito, o que pode levantar preocupações sobre privacidade. O objetivo é fornecer a indivíduos de alto risco, que possam ser alvos de ferramentas de vigilância, a capacidade de compartilhar logs de atividade com especialistas em segurança para investigação. Além disso, o Google anunciou melhorias em segurança e privacidade no Android, incluindo proteção contra fraudes em chamadas financeiras e detecção de ameaças em tempo real.

Google bloqueia ataque de dia zero utilizando inteligência artificial

O Google Threat Intelligence Group (GTIG) anunciou a detecção e interrupção de um ataque de dia zero que utilizou inteligência artificial (IA) pela primeira vez. O ataque, realizado por um grupo de cibercriminosos ainda não identificado, visava explorar uma vulnerabilidade em uma ferramenta de administração de sistemas open-source. O código malicioso, embutido em um script Python, permitia contornar a autenticação de dois fatores, embora os invasores ainda precisassem de credenciais válidas para acessar a plataforma. O GTIG identificou que a IA foi utilizada para descobrir e transformar a vulnerabilidade em um exploit, com evidências no código que indicam a utilização de um modelo de IA para mapear brechas e desenvolver malware. O Google trabalhou com o fornecedor afetado para corrigir a falha, e uma atualização já foi disponibilizada. Este incidente destaca uma tendência crescente entre grupos hackers que estão utilizando IA para aumentar a eficácia de seus ataques, com foco em grupos ligados à China e à Coreia do Norte, que demonstraram interesse em explorar vulnerabilidades através de técnicas avançadas.

Apple lança suporte a criptografia de ponta a ponta no RCS

A Apple anunciou a liberação oficial do iOS 26.5, que inclui suporte para criptografia de ponta a ponta (E2EE) em mensagens de Rich Communication Services (RCS) na versão beta. Essa atualização faz parte de um esforço conjunto da indústria para substituir o SMS tradicional por uma alternativa mais segura. A funcionalidade de E2EE está disponível para usuários de iPhone com iOS 26.5 e para usuários de Android que utilizam a versão mais recente do Google Messages. A criptografia é ativada por padrão em novas e antigas conversas, garantindo que as mensagens não possam ser lidas durante a transmissão entre dispositivos. A Apple destacou que os usuários poderão identificar conversas criptografadas pelo ícone de cadeado que aparecerá nas mensagens RCS. A implementação da E2EE foi testada inicialmente em versões beta anteriores e, em 2025, a GSMA anunciou apoio à criptografia para proteger mensagens enviadas via protocolo RCS. A colaboração entre Apple, Google e a GSMA é vista como um avanço significativo na segurança das comunicações móveis, estabelecendo uma base reconhecida globalmente para serviços seguros.

Google amplia Transparência Binária no Android para segurança de dados

O Google anunciou a expansão da Transparência Binária para o Android, uma iniciativa que visa proteger o ecossistema de ataques à cadeia de suprimentos. Essa nova abordagem, que se baseia na Transparência Binária do Pixel, introduz um registro público criptográfico que garante que os aplicativos do Google em dispositivos Android sejam exatamente o que a empresa pretende distribuir. A Transparência Binária é uma resposta a ataques que injetam código malicioso em canais de atualização de software, mantendo as assinaturas digitais intactas. Um exemplo recente é o comprometimento de instaladores do DAEMON Tools, que distribuíam um backdoor disfarçado. O Google enfatiza que confiar apenas na assinatura digital não é mais suficiente, pois ela não garante que o binário foi realmente o que o autor pretendia liberar. Com a nova medida, todos os aplicativos do Google lançados após 1º de maio de 2026 terão uma entrada criptográfica correspondente, permitindo que usuários e pesquisadores verifiquem a autenticidade do software. Essa iniciativa é um passo importante para aumentar a segurança e a privacidade dos usuários, especialmente em um cenário onde ataques à cadeia de suprimentos estão se tornando mais comuns.

Google reformula programas de recompensas por vulnerabilidades

O Google anunciou mudanças significativas em seus programas de recompensas por vulnerabilidades no Android e no Chrome, aumentando os prêmios para exploits mais complexos e reduzindo os valores para falhas que a inteligência artificial (IA) facilitou na identificação. O maior prêmio, de até US$ 1,5 milhão, é destinado a exploits completos de segurança do chip Pixel Titan M2 com persistência, enquanto exploits sem persistência podem receber até US$ 750 mil. Para o Chrome, os exploits de processos do navegador em sistemas operacionais e hardware atualizados agora têm recompensas de até US$ 250 mil, além de um bônus adicional de US$ 250.128 para a exploração bem-sucedida de alocações de memória protegidas pelo MiraclePtr. O Google enfatiza a importância de relatórios concisos que contenham apenas provas de bugs e artefatos essenciais, em vez de análises longas que podem ser geradas automaticamente por IA. Essa reestruturação segue um ano recorde em recompensas, com pagamentos totalizando US$ 17,1 milhões a 747 pesquisadores em 2025, um aumento de mais de 40% em relação a 2024. O total acumulado desde o início do programa em 2010 ultrapassa US$ 81,6 milhões, e o Google prevê que os pagamentos totais em 2026 continuarão a crescer, apesar da redução em alguns valores individuais.

Rússia ordena remoção do app Important Stories da Apple e Google

As autoridades russas, através do órgão regulador Roskomnadzor, ordenaram que a Apple e o Google removam o aplicativo Important Stories (IStories) de suas lojas oficiais no país. Lançado em fevereiro de 2023, o IStories é um aplicativo de mídia investigativa que permite acesso a notícias não censuradas sem a necessidade de VPN. A ordem de remoção foi justificada pela alegação de que o aplicativo estaria distribuindo informações em violação à lei, embora os detalhes sobre o conteúdo específico a ser removido não tenham sido esclarecidos. Essa ação se insere em um contexto mais amplo de censura na Rússia, onde muitos sites e plataformas de mídia social foram bloqueados desde o início da invasão da Ucrânia. O fundador do IStories, Roman Anin, expressou preocupação de que a remoção do aplicativo represente uma tentativa de silenciar fontes de verdade no país. Apesar da notificação, o aplicativo ainda estava disponível nas lojas da Apple e Google no momento da reportagem. A situação levanta questões sobre o papel das grandes empresas de tecnologia na censura e no controle da informação em regimes autoritários.

Google corrige falha crítica no Gemini CLI que permite execução remota de comandos

O Google anunciou a correção de uma vulnerabilidade de gravidade máxima no pacote npm ‘@google/gemini-cli’ e no fluxo de trabalho ‘google-github-actions/run-gemini-cli’, que poderia permitir a execução de comandos arbitrários em sistemas host. Segundo a Novee Security, a falha permitia que um atacante externo não privilegiado forçasse o carregamento de conteúdo malicioso como configuração do Gemini, resultando em execução de comandos diretamente no sistema host, antes mesmo da inicialização do sandbox do agente. A vulnerabilidade, que não possui um identificador CVE, apresenta uma pontuação CVSS de 10.0 e afeta versões específicas do Gemini CLI. O Google destacou que o impacto é limitado a fluxos de trabalho que utilizam o Gemini CLI em modo headless, e recomenda que os usuários revisem suas configurações para garantir que apenas pastas confiáveis sejam utilizadas. Além disso, a empresa está implementando medidas para reforçar a lista de permissões de ferramentas quando o Gemini CLI é configurado para rodar em modo –yolo, evitando que entradas não confiáveis possam levar à execução remota de código. O artigo também menciona uma vulnerabilidade no Cursor, uma ferramenta de desenvolvimento, que poderia resultar em execução de código arbitrário devido a uma interação de recursos no Git.

Google utiliza IA para automatizar segurança e prevenir ataques cibernéticos

Durante o Google Cloud Next 2026, a gigante da tecnologia apresentou inovações na aplicação de inteligência artificial (IA) para a segurança digital. A aquisição da Wiz, uma empresa de segurança em nuvem, por US$ 32 bilhões, destaca a importância da automação na identificação e resposta a riscos em ambientes complexos. Yinon Costica, cofundador da Wiz, e Francis deSouza, COO do Google Cloud, discutiram como agentes de IA estão sendo utilizados para automatizar processos que antes eram manuais, como a descoberta de vulnerabilidades e a resposta a incidentes. A automação permite que as empresas lidem com um volume maior de riscos sem a necessidade de expandir suas equipes. Além disso, a integração de soluções em ambientes multicloud apresenta novos desafios, exigindo visibilidade e controle em múltiplas plataformas. A IA não apenas identifica problemas, mas também pode iniciar correções, acelerando o tempo de resposta. A capacidade das empresas de usar seu próprio contexto para antecipar ameaças é vista como uma vantagem estratégica. Com a evolução da IA, a segurança digital se torna um processo contínuo e integrado às operações de negócios, ressaltando que a proteção de sistemas e dados é essencial para a estratégia empresarial.

Google expande uso do Gemini para combater anúncios maliciosos

O Google anunciou a ampliação do uso da ferramenta de inteligência artificial Gemini para combater anúncios maliciosos em suas plataformas. A IA já foi responsável por interromper e remover aproximadamente 8,3 bilhões de anúncios fraudulentos e suspender 24,9 milhões de contas de anunciantes em 2025. A prática de hackers que compram anúncios para se passar por marcas legítimas é um problema recorrente no Google Ads, e a nova abordagem do Gemini visa detectar e bloquear essas fraudes em tempo real. A tecnologia agora analisa bilhões de sinais, como o comportamento do anunciante e o histórico da conta, permitindo uma identificação mais precisa de anúncios legítimos versus fraudulentos. O Google planeja expandir ainda mais o uso do Gemini para outros formatos de anúncios, visando bloquear anunciantes fraudulentos já no momento do envio. Essa iniciativa é crucial para proteger os usuários de golpes digitais e melhorar a segurança do ecossistema publicitário.

Google usa IA para bloquear anúncios prejudiciais em suas plataformas

O Google anunciou que está intensificando o uso de seus modelos de IA Gemini para detectar e bloquear anúncios prejudiciais em suas plataformas de publicidade. Em 2025, a empresa removeu 8,3 bilhões de anúncios e suspendeu 24,9 milhões de contas de anunciantes, incluindo 602 milhões de anúncios relacionados a fraudes. O malvertising, que envolve anúncios que imitam marcas legítimas para disseminar malware ou realizar phishing, continua a ser um problema significativo. Os cibercriminosos estão utilizando IA generativa para criar anúncios enganosos em larga escala, o que torna a detecção mais desafiadora. O Google afirma que o Gemini permite a análise de bilhões de sinais, como comportamento do anunciante e histórico de contas, para identificar anúncios maliciosos. Nos EUA, 1,7 bilhão de anúncios foram removidos, e as principais violações de políticas foram abuso da rede de anúncios e má representação. A precisão aumentada dos modelos de IA reduziu em 80% as suspensões incorretas de anunciantes. O Google planeja expandir o uso do Gemini para mais formatos de anúncios, visando bloquear campanhas maliciosas no momento da submissão.

Google integra parser DNS baseado em Rust para aumentar segurança

O Google anunciou a integração de um parser DNS baseado em Rust no firmware do modem, como parte de suas iniciativas para aumentar a segurança dos dispositivos Pixel, especialmente o Pixel 10. Essa mudança visa mitigar uma classe inteira de vulnerabilidades associadas a linguagens de programação não seguras, como C, que podem levar a acessos indevidos à memória e execução remota de código. Jiacheng Lu, engenheiro de software da equipe Pixel, destacou que essa implementação não só reduz os riscos de segurança, mas também estabelece um precedente para a adoção de código seguro em outras áreas. O parser DNS é crucial, pois sustenta as comunicações celulares modernas, e sua implementação em Rust diminui as superfícies de ataque relacionadas à segurança da memória. O Google utilizou a biblioteca ‘hickory-proto’ para essa implementação e desenvolveu ferramentas personalizadas para gerenciar dependências. Embora o crate Rust não seja otimizado para sistemas com restrições de memória, a empresa planeja otimizações futuras. Essa iniciativa é parte de um esforço contínuo para fortalecer a segurança do modem contra ataques, especialmente aqueles que exploram vulnerabilidades de segurança de memória, como os buffer overflows.

Google lança credenciais de sessão vinculadas a dispositivos no Chrome

O Google anunciou a disponibilidade geral das Credenciais de Sessão Vinculadas a Dispositivos (DBSC) para usuários do Windows no navegador Chrome, após meses de testes em beta aberto. Essa funcionalidade, que visa combater o roubo de sessões, é especialmente relevante em um cenário onde o roubo de cookies de sessão se tornou uma ameaça comum. Os cookies de sessão, que permitem acesso a contas online, podem ser furtados por malwares que coletam informações do sistema, como os da família Infostealer. Com o DBSC, a autenticação é criptograficamente ligada a um dispositivo específico, utilizando módulos de segurança de hardware, como o Trusted Platform Module (TPM) no Windows. Isso significa que, mesmo que um cookie seja roubado, ele se tornará rapidamente inútil para os atacantes, pois a chave privada necessária para a autenticação não pode ser extraída do dispositivo. O Google observou uma redução significativa no roubo de sessões desde a implementação dessa tecnologia. A expansão para macOS está prevista para lançamentos futuros, e a empresa planeja integrar o DBSC em uma gama mais ampla de dispositivos, reforçando a segurança em ambientes corporativos.

Censores russos visam Google em campanha contra VPNs

Em março de 2026, a Rússia intensificou sua repressão ao uso de VPNs, com a Roskomnadzor emitindo 233 ordens de remoção de aplicativos do Google Play, especificamente direcionadas a ferramentas que contornam restrições de internet. Além disso, foram solicitadas a remoção de mais de 500 URLs dos resultados de busca do Google. Apesar da pressão, o Google tem resistido em grande parte a essas ordens, removendo apenas seis aplicativos até o momento, segundo Benjamin Ismail, diretor da GreatFire. Em contraste, a Apple removeu pelo menos 60 aplicativos de VPN de sua loja russa em 2024. A situação se agrava com o aumento da censura na internet na Rússia, onde apenas sites aprovados estão acessíveis em grandes cidades como Moscou e São Petersburgo. O governo russo, por meio do ministro de Desenvolvimento Digital, anunciou planos para reduzir o uso de VPNs, impondo novas multas e restrições. Enquanto isso, algumas VPNs resistentes à censura, como Amnezia VPN e Windscribe, continuam operando no país. A remoção do ZoogVPN, um aplicativo popular, foi considerada um falso positivo por seus desenvolvedores, mas destaca a crescente dificuldade de acesso à internet livre na Rússia.

Google permite mudança de endereço gmail nos EUA

O Google anunciou uma nova funcionalidade que permite aos usuários nos Estados Unidos alterar seu endereço de e-mail @gmail.com ou criar um novo alias. Essa opção, que foi identificada pela primeira vez em outubro de 2025, estava inicialmente indisponível para usuários americanos, mas agora já pode ser acessada. Antes, o Google permitia apenas a alteração de aliases, mas não do endereço principal. A mudança é feita nas configurações da conta do Google, onde o usuário pode escolher um novo nome de usuário, desde que este seja único. Após a alteração, o novo endereço será refletido em todos os serviços do Google, como Gmail, Google Drive e Google Photos. O Google garantiu que o endereço antigo não será excluído e permanecerá vinculado à conta atual. Embora a funcionalidade esteja disponível nos EUA, não há confirmação se ela será lançada em outras regiões. Essa mudança pode impactar a forma como os usuários gerenciam suas identidades digitais e a segurança de suas contas, especialmente em um cenário onde a proteção de dados é cada vez mais relevante.

Google implementa verificação de desenvolvedores Android para segurança

O Google anunciou a implementação da verificação de desenvolvedores Android, visando combater a distribuição de aplicativos prejudiciais por agentes mal-intencionados que operam de forma anônima. A partir de setembro, essa verificação será obrigatória para desenvolvedores que distribuem aplicativos fora da Google Play em países como Brasil, Indonésia, Cingapura e Tailândia, com expansão global prevista para o próximo ano. Os desenvolvedores deverão criar uma conta no Android Developer Console para confirmar sua identidade. Para a maioria dos usuários, a instalação de aplicativos permanecerá inalterada, mas aqueles que tentarem instalar aplicativos não registrados precisarão passar por um fluxo avançado de autenticação. O Google também introduzirá um processo manual para registro de aplicativos que não puderem ser automaticamente verificados. Essa mudança busca aumentar a segurança da comunidade Android, ao mesmo tempo em que mantém a flexibilidade para usuários avançados. Além disso, a Apple atualizou seu Acordo de Licença do Programa de Desenvolvedores para reforçar regras de privacidade sobre o acesso de dispositivos de terceiros a atividades e notificações ao vivo, proibindo o uso de informações de encaminhamento para publicidade e monitoramento de localização.

Google introduz mecanismo de segurança para instalação de APKs no Android

O Google anunciou uma nova funcionalidade chamada Advanced Flow, que permitirá a instalação de APKs de desenvolvedores não verificados de forma mais segura no Android. Programada para ser lançada em agosto, essa nova abordagem visa minimizar os riscos de infecções por malware e fraudes, que causaram perdas estimadas em US$ 442 bilhões no último ano, segundo a Global Anti-Scam Alliance (GASA). Para instalar aplicativos de desenvolvedores não verificados, os usuários precisarão passar por um processo único que inclui ativar o Modo Desenvolvedor, confirmar que não estão sendo orientados por agentes maliciosos, reiniciar o dispositivo e reautenticar. Após um dia, eles devem confirmar a legitimidade das modificações. O sistema foi projetado para dificultar táticas de golpe que exploram a urgência, evitando que os usuários instalem software malicioso sob pressão. O Google também está implementando um sistema de verificação de identidade para todos os desenvolvedores de aplicativos Android, que entrará em vigor em agosto de 2026. Essa medida é uma resposta à crescente sofisticação do malware e à necessidade de proteger os usuários em um ambiente digital cada vez mais arriscado.

Google implementa nova abordagem para instalação de apps no Android

O Google anunciou uma nova funcionalidade para o sistema Android que introduz um fluxo avançado para a instalação de aplicativos de desenvolvedores não verificados, exigindo um período de espera obrigatório de 24 horas. Essa mudança visa equilibrar a abertura da plataforma com a segurança dos usuários, especialmente em um contexto onde a verificação de desenvolvedores se tornou obrigatória. O objetivo é identificar rapidamente atores maliciosos e impedir a distribuição de malware. A nova abordagem permite que usuários experientes instalem aplicativos não verificados após habilitar o modo desenvolvedor, confirmar que estão agindo por conta própria, reiniciar o dispositivo e passar por uma autenticação biométrica ou PIN. Essa medida busca dificultar ataques cibernéticos, como os que envolvem a manipulação de permissões para desativar o Play Protect, a ferramenta anti-malware do Google. Apesar das intenções de segurança, a nova política gerou críticas de mais de 50 desenvolvedores e organizações, que expressaram preocupações sobre privacidade e barreiras de entrada. O Google também planeja oferecer contas de distribuição limitada para desenvolvedores amadores, permitindo que compartilhem aplicativos sem a necessidade de identificação oficial. Essas mudanças estão programadas para serem implementadas em agosto de 2026.

Aumento de Exploração de Vulnerabilidades Zero-Day em 2025

O Google Threat Intelligence Group (GTIG) identificou 90 vulnerabilidades zero-day ativamente exploradas em 2025, um aumento de 15% em relação a 2024, mas abaixo do recorde de 100 em 2023. Quase metade dessas falhas afetou software e dispositivos empresariais. As vulnerabilidades zero-day são falhas de segurança em produtos de software que são exploradas por atacantes antes que o fornecedor tome conhecimento e desenvolva um patch. Em 2025, 47 zero-days visaram plataformas de usuários finais e 43, produtos empresariais. Os tipos de falhas exploradas incluem execução remota de código, escalonamento de privilégios e corrupção de memória, com problemas de segurança de memória representando 35% das vulnerabilidades exploradas. O relatório destaca que a Microsoft foi o fornecedor mais visado, com 25 zero-days explorados. Além disso, pela primeira vez, fornecedores de spyware comerciais superaram grupos de espionagem patrocinados pelo estado em termos de uso de falhas não documentadas. O uso de ferramentas de IA para automatizar a descoberta de vulnerabilidades pode manter a exploração de zero-days alta em 2026. O GTIG recomenda a redução da superfície de ataque e a monitorização contínua para detectar e conter essas explorações.

Novo kit de exploits Coruna ataca iPhones com iOS vulnerável

O Google identificou um novo e poderoso kit de exploits chamado Coruna, que visa modelos de iPhone com versões do iOS entre 13.0 e 17.2.1. Este kit contém cinco cadeias completas de exploits e um total de 23 vulnerabilidades, sendo que não é eficaz contra a versão mais recente do iOS. O Coruna foi observado circulando entre diversos atores de ameaças desde fevereiro de 2025, começando em operações de vigilância comercial e evoluindo para ataques apoiados por governos e, finalmente, para grupos criminosos motivados financeiramente, especialmente da China. O kit utiliza técnicas de exploração não públicas e contorna mitigação de segurança, o que o torna altamente sofisticado. A primeira detecção de partes de uma cadeia de exploits do iOS ocorreu no início do ano passado, integrando um novo framework JavaScript que coleta informações do dispositivo antes de executar os exploits. O kit foi associado a campanhas de espionagem, incluindo um grupo russo, e é um exemplo significativo da proliferação de capacidades de spyware de fornecedores comerciais para atores de estados-nação e operações criminosas em larga escala. Para mitigar os riscos, usuários de iPhone são aconselhados a manter seus dispositivos atualizados e a ativar o Modo de Bloqueio para maior segurança.

Google corrige 129 vulnerabilidades de segurança no Android

O Google lançou atualizações de segurança para corrigir 129 vulnerabilidades no Android, incluindo uma falha zero-day criticamente explorada em um componente de display da Qualcomm, identificada como CVE-2026-21385. Essa vulnerabilidade, que pode estar sob exploração limitada e direcionada, é um estouro de inteiro que pode levar à corrupção de memória, afetando 235 chipsets da Qualcomm. Além disso, o Google corrigiu 10 vulnerabilidades críticas que poderiam permitir a execução remota de código, elevação de privilégios ou negação de serviço. As atualizações foram divididas em dois pacotes: 2026-03-01 e 2026-03-05, com o segundo incluindo todos os patches do primeiro e correções para subcomponentes de terceiros. Enquanto dispositivos Google Pixel recebem atualizações imediatamente, outros fabricantes podem demorar mais para implementá-las. A Qualcomm foi notificada sobre a vulnerabilidade em dezembro e alertou seus clientes em fevereiro. O artigo destaca a importância de que as empresas que utilizam dispositivos Android estejam cientes dessas vulnerabilidades e realizem as atualizações necessárias para mitigar riscos.

Vulnerabilidade no Google permite invasão do Gemini por hackers

Uma nova vulnerabilidade nas chaves de API da Google foi descoberta, permitindo que hackers utilizem essas chaves para invadir o assistente de IA Gemini e acessar dados privados. A pesquisa da TruffleSecurity revelou que cerca de 3.000 chaves de API estavam expostas em códigos de diversas organizações na internet. Essas chaves, que antes não eram consideradas sensíveis, passaram a ser um vetor de ataque após a introdução do Gemini, pois agora servem como credenciais de autenticação. A exposição dessas chaves pode resultar em dívidas significativas para os usuários, com potenciais perdas financeiras diárias na ordem de milhares de dólares. O problema foi reportado à Google, que reconheceu a falha como uma “escalada de privilégios de serviço único” e está trabalhando em soluções para mitigar o risco, como a detecção e bloqueio de chaves vazadas. Os desenvolvedores são aconselhados a auditar suas chaves de API e verificar a configuração de segurança de suas aplicações.

Campanha de phishing usa página falsa do Google para roubo de dados

Uma nova campanha de phishing está utilizando uma página falsa de segurança de conta do Google para distribuir um aplicativo web malicioso. Este aplicativo, que se aproveita de recursos de Progressive Web App (PWA), é capaz de roubar códigos de verificação de uso único (OTP), coletar endereços de carteiras de criptomoedas e redirecionar o tráfego do atacante através dos navegadores das vítimas. Os criminosos cibernéticos utilizam o domínio google-prism[.]com, que simula um serviço legítimo do Google, e enganam os usuários a conceder permissões arriscadas sob a falsa promessa de aumentar a segurança de seus dispositivos. O aplicativo malicioso pode exfiltrar dados de contatos, informações de localização em tempo real e conteúdos da área de transferência. Além disso, ele atua como um proxy de rede, permitindo que os atacantes realizem requisições através do navegador da vítima. A campanha também inclui um APK para Android que promete proteção adicional, mas que na verdade compromete ainda mais a segurança do dispositivo. Especialistas alertam que o Google não realiza verificações de segurança através de pop-ups e que todas as ferramentas de segurança estão disponíveis no site oficial da conta do Google. A remoção do aplicativo malicioso é recomendada, e os usuários devem estar atentos a sinais de comprometimento.

Vulnerabilidades e Ameaças em Cibersegurança Panorama Atual

Nesta semana, o cenário de cibersegurança apresenta uma série de incidentes e vulnerabilidades que refletem a evolução das ameaças digitais. Um dos principais destaques é a exploração ativa de uma falha crítica no Cisco Catalyst SD-WAN, identificada como CVE-2026-20127, que permite a atacantes não autenticados obterem privilégios administrativos. Além disso, a Anthropic acusou três empresas chinesas de realizar ataques em larga escala para extrair informações de seu modelo de IA, enquanto o Google desmantelou a infraestrutura de um grupo de espionagem cibernética ligado à China, conhecido como UNC2814, que visava organizações globais. Outro ponto crítico é a exposição de chaves de API do Google Cloud, que poderiam ser utilizadas para acessar dados sensíveis. Por fim, um novo grupo de ameaças, UAT-10027, tem como alvo os setores de educação e saúde nos EUA, utilizando um backdoor chamado Dohdoor. Esses eventos ressaltam a necessidade de vigilância constante e atualização de sistemas para mitigar riscos.

Chaves de API do Google expostas podem comprometer dados privados

Pesquisadores da TruffleSecurity descobriram que quase 3.000 chaves de API do Google, utilizadas em serviços como o Google Maps, estavam expostas em códigos acessíveis ao público. O problema surgiu após o lançamento do assistente de IA Gemini, que passou a utilizar essas chaves como credenciais de autenticação. Antes, as chaves de API do Google Cloud não eram consideradas dados sensíveis e podiam ser expostas sem riscos significativos. No entanto, com a introdução do Gemini, essas chaves agora permitem acesso a dados privados através da API do assistente. Os pesquisadores alertaram que um atacante poderia copiar uma chave de API do código-fonte de uma página da web e realizar chamadas à API, gerando custos que podem ultrapassar milhares de dólares por dia em contas de vítimas. A TruffleSecurity encontrou mais de 2.800 chaves de API do Google expostas em um conjunto de dados de novembro de 2025 e notificou a empresa, que classificou a falha como uma “elevação de privilégio de serviço único”. O Google afirmou que está implementando medidas proativas para detectar e bloquear chaves de API vazadas e recomendou que os desenvolvedores auditem suas chaves para evitar exposições.

Google desmantela hackers de telecomunicações usando Sheets e SaaS

O Google, em colaboração com a Mandiant e outros parceiros, desmantelou uma rede de espionagem global conhecida como UNC2814, que visava organizações governamentais e de telecomunicações em mais de 40 países. A campanha, que começou em 2023, utilizou um malware inédito chamado GridTide, que explorava a API do Google Sheets para comunicação de comando e controle (C2). Em vez de se conectar a servidores remotos, o malware fazia requisições HTTPS para a infraestrutura legítima do Google, disfarçando-se no tráfego normal das empresas. Os comandos eram armazenados em células de planilhas controladas pelos atacantes, que inseriam instruções codificadas. O Google conseguiu interromper a campanha desativando todos os projetos do Google Cloud controlados pelos hackers e revogando o acesso à API do Google Sheets. A operação afetou pelo menos 53 organizações em 42 países, com a suspeita de que o grupo esteja presente em mais 20 países. A maioria das regiões afetadas inclui a América Latina, Europa Oriental, Rússia, partes da África e do Sul da Ásia, enquanto a Europa Ocidental e os EUA não foram impactados.

Google e Mandiant desmantelam campanha de espionagem global da China

O Google, por meio de seu Grupo de Inteligência de Ameaças (GTIG) e em parceria com a Mandiant, interrompeu uma campanha de espionagem global atribuída a um ator de ameaça suspeito de ser da China, que utilizava chamadas de API de SaaS para ocultar tráfego malicioso em ataques direcionados a redes de telecomunicações e governamentais. A campanha, que estava ativa desde pelo menos 2023, afetou 53 organizações em 42 países, com suspeitas de infecções em pelo menos 20 outros países. O vetor de acesso inicial é desconhecido, mas acredita-se que o grupo, identificado internamente como UNC2814, tenha explorado falhas em servidores web e sistemas de borda. A nova ferramenta utilizada, chamada ‘GRIDTIDE’, é um backdoor em C que abusa da API do Google Sheets para operações de comando e controle (C2) evasivas. O GRIDTIDE autentica-se em uma Conta de Serviço do Google usando uma chave privada codificada e realiza reconhecimento do host, coletando informações como nome de usuário e detalhes do sistema. Apesar de a Google não ter observado diretamente a exfiltração de dados, foi confirmado que o GRIDTIDE foi implantado em um sistema que continha informações pessoais sensíveis. A campanha foi desmantelada com a desativação de projetos do Google Cloud controlados pelo UNC2814 e a revogação do acesso à API do Google Sheets. Embora a interrupção tenha sido abrangente, espera-se que o grupo retome suas atividades em breve.

Google desmantela grupo de espionagem cibernética ligado à China

O Google anunciou, em 25 de fevereiro de 2026, que colaborou com parceiros da indústria para desmantelar a infraestrutura de um grupo de espionagem cibernética suspeito de estar vinculado à China, identificado como UNC2814. Este grupo é responsável por violações em pelo menos 53 organizações em 42 países, com um histórico de ataques a governos e empresas de telecomunicações em diversas regiões do mundo. O relatório, elaborado pelo Google Threat Intelligence Group e pela Mandiant, destaca o uso de uma nova backdoor chamada GRIDTIDE, que utiliza a API do Google Sheets para ocultar o tráfego malicioso e facilitar a transferência de dados. Embora a forma de acesso inicial do grupo ainda esteja sendo investigada, há indícios de que eles exploram servidores web e sistemas de borda. O Google tomou medidas significativas, encerrando todos os projetos do Google Cloud controlados pelos atacantes e desativando a infraestrutura conhecida do UNC2814. A atividade global deste grupo, que se estende por mais de 70 países, representa uma séria ameaça para os setores de telecomunicações e governamentais, evidenciando a necessidade de vigilância contínua e medidas de segurança robustas.

Vulnerabilidades e Incidentes de Cibersegurança em Destaque

Nesta semana, o cenário de cibersegurança apresenta uma série de incidentes e vulnerabilidades críticas. Um dos destaques é a exploração de uma falha de segurança de gravidade máxima no Dell RecoverPoint para Máquinas Virtuais, identificada como CVE-2026-22769, que permite a execução de comandos como root e a instalação de backdoors. Além disso, dois ex-engenheiros do Google foram indiciados por roubo de segredos comerciais, transferindo informações sensíveis para o Irã. Outro ponto alarmante é a descoberta do malware PromptSpy, que utiliza inteligência artificial para garantir sua persistência em dispositivos Android, visando usuários na Argentina. Também foi identificado um novo malware chamado Keenadu, embutido no firmware de dispositivos Android, que pode coletar dados e controlar remotamente os aparelhos. Por fim, um estudo questionou as alegações de ‘zero knowledge’ de gerenciadores de senhas como Bitwarden e LastPass, revelando que, em certas circunstâncias, dados podem ser acessados por insiders maliciosos. Esses eventos ressaltam a necessidade urgente de vigilância e atualização de sistemas para mitigar riscos.

Engenheiros do Google são indiciados por roubo de segredos comerciais

Três indivíduos, incluindo duas ex-engenheiras do Google, foram indiciados nos EUA por roubo de segredos comerciais. Samaneh Ghandali, de 41 anos, e sua irmã Soroor Ghandali, de 32 anos, junto com o marido de Samaneh, Mohammad Khosravi, de 40 anos, são acusados de conspirar para roubar informações confidenciais da gigante da tecnologia e transferi-las para locais não autorizados, incluindo o Irã. O Departamento de Justiça dos EUA informou que os réus usaram suas posições em empresas de tecnologia para acessar dados sensíveis, como segredos relacionados à segurança de processadores e criptografia. Eles teriam transferido centenas de arquivos para plataformas de comunicação de terceiros e dispositivos pessoais. Após a detecção das atividades suspeitas, a Google alertou as autoridades e implementou medidas de segurança adicionais. Se condenados, cada um pode enfrentar até 10 anos de prisão por roubo de segredos comerciais e até 20 anos por obstrução da justiça. Este caso destaca a crescente preocupação com ameaças internas e espionagem corporativa no setor de tecnologia.

Google revela que hackers usam Gemini em golpes de vagas falsas

O Google identificou que um grupo hacker da Coreia do Norte, denominado UNC2970, está utilizando a ferramenta de inteligência artificial Gemini para realizar ciberataques, especialmente focados em campanhas de phishing relacionadas a ofertas de emprego falsas. A equipe de inteligência de ameaças do Google relatou que os hackers estão empregando a IA para traçar perfis de potenciais vítimas, coletando dados sensíveis através da técnica de OSINT (Open Source Intelligence). O grupo tem como alvo principal empresas de cibersegurança, onde mapeiam funções técnicas e informações salariais para criar campanhas de phishing personalizadas. Embora os detalhes dos ataques não tenham sido amplamente divulgados, a utilização de ferramentas de IA por hackers levanta preocupações sobre a segurança cibernética em escala global. O Google alerta que, embora os usuários das ferramentas de IA não sejam diretamente impactados, a forma como essas tecnologias podem ser exploradas para fins maliciosos é alarmante. O UNC2970 tem se mostrado cada vez mais ativo, enganando sistemas e se passando por recrutadores em busca de profissionais para vagas que não existem.

Google desmantela rede de proxy residencial IPIDEA

O cenário da cibersegurança continua a evoluir com novos ataques e defesas. Recentemente, o Google desmantelou a rede de proxy residencial IPIDEA, que utilizava dispositivos de usuários como parte de cadeias de ataques cibernéticos. Essa rede permitia que criminosos ocultassem seu tráfego malicioso e expunha os dispositivos dos usuários a novos ataques. A ação legal do Google resultou na redução do número de dispositivos disponíveis na rede em milhões. Além disso, a Microsoft lançou patches para uma vulnerabilidade crítica em seu Office, classificada como CVE-2026-21509, que permitia a bypass de recursos de segurança. A Ivanti também corrigiu falhas em seu Endpoint Manager Mobile, que permitiam execução remota de código não autenticado. Em outro incidente, a Polônia atribuiu ataques cibernéticos a uma rede ligada ao serviço de segurança da Rússia, afetando usinas de energia. Por fim, uma nova campanha de cibercriminosos está explorando endpoints de IA expostos, visando roubar recursos e dados. Esses eventos destacam a necessidade de vigilância constante e atualização de sistemas de segurança.

Engenheiro do Google é condenado por roubo de dados de IA

Um júri federal dos EUA condenou Linwei Ding, ex-engenheiro de software do Google, por roubar dados de supercomputadores de IA da empresa e compartilhá-los secretamente com empresas de tecnologia da China. Ding foi indiciado em março de 2024 após mentir e não cooperar com a investigação interna do Google, resultando em sua prisão na Califórnia. Entre maio de 2022 e abril de 2023, ele roubou mais de 2.000 páginas de materiais confidenciais relacionados à IA, que foram armazenados em sua conta pessoal do Google Cloud. Os documentos continham informações cruciais sobre a infraestrutura de supercomputação da Google, tecnologias proprietárias de TPU e GPU, software de orquestração para cargas de trabalho de IA em larga escala e tecnologia de rede SmartNIC. Além de sua função no Google, Ding tinha vínculos secretos com duas empresas de tecnologia baseadas na China e chegou a negociar um cargo de CTO em uma delas. Ele fundou sua própria empresa de IA na China e buscou ajudar o governo chinês a desenvolver infraestrutura de computação em nível internacional. Após um julgamento de 11 dias, Ding foi condenado por espionagem econômica e roubo de segredos comerciais, com penas que podem chegar a 15 anos de prisão. A sentença ainda não foi anunciada.