Microsoft

Uma nova campanha de phishing está utilizando servidores de e-mail mal configurados para enganar vítimas, fazendo com que mensagens fraudulentas pareçam legítimas. De acordo com um relatório da Microsoft, os atacantes estão explorando falhas na configuração de segurança de e-mails, como SPF, DKIM e DMARC, que normalmente verificam a autenticidade das mensagens. Quando esses sistemas não são rigorosamente aplicados, os criminosos conseguem enviar e-mails que parecem vir de domínios internos da empresa, aumentando a probabilidade de que os funcionários caiam no golpe.

Especialistas em cibersegurança alertam que o grupo de hackers conhecido como ‘Ink Dragon’, patrocinado pelo Estado chinês, está ampliando suas operações em governos europeus. De acordo com um relatório da Check Point Software, os atacantes exploram servidores Microsoft IIS e SharePoint mal configurados para obter acesso inicial e estabelecer uma presença persistente. Ao invés de utilizar vulnerabilidades zero-day, que poderiam acionar alarmes de segurança, eles se aproveitam de fraquezas e configurações inadequadas. Uma vez dentro, o grupo instala backdoors, como o FinalDraft, que foi recentemente atualizado para misturar seu tráfego de comando e controle (C2) com atividades normais da nuvem da Microsoft, dificultando a detecção. O malware opera principalmente durante o horário comercial, quando o tráfego é mais intenso, tornando mais difícil identificar atividades suspeitas. O relatório indica que dezenas de entidades, incluindo governos e empresas de telecomunicações na Europa, Ásia e África, foram afetadas, com a operação de relé se expandindo gradualmente desde a segunda metade de 2025. A situação representa um risco significativo para a segurança cibernética, especialmente para organizações que utilizam as tecnologias mencionadas.

O artigo da TechRadar analisa a evolução do mercado de jogos para PC e a resposta tardia da Microsoft ao crescimento do SteamOS, sistema operacional baseado em Linux desenvolvido pela Valve. Historicamente, o Windows foi a plataforma dominante para jogos, mas a falta de inovação e a complacência da Microsoft permitiram que a Valve emergisse como uma concorrente séria. O Steam, lançado em 2003, tornou-se a principal loja de jogos para PC, representando cerca de 75% das vendas até 2013. A introdução do SteamOS em 2014 e do Proton, uma camada de compatibilidade que permite que jogos do Windows rodem no Linux, desafiou a supremacia do Windows. Além disso, o Steam Deck, um console portátil que utiliza o SteamOS, demonstrou a viabilidade de uma alternativa ao Windows para jogos. A Microsoft, percebendo a ameaça, começou a vender seus jogos no Steam em 2019, mas a sua resposta foi considerada insuficiente e tardia, especialmente em um cenário onde o Windows 11 apresenta problemas de usabilidade para jogos em dispositivos portáteis. O artigo conclui que a complacência da Microsoft pode ter consequências negativas para sua posição no mercado de jogos para PC.

Em dezembro de 2025, a Microsoft lançou atualizações para corrigir 56 vulnerabilidades em seus produtos, incluindo três classificadas como Críticas. Entre as falhas, destaca-se a CVE-2025-62221, uma vulnerabilidade de uso após a liberação de memória no Windows Cloud Files Mini Filter Driver, que está sendo explorada ativamente. Essa falha permite que atacantes autorizados elevem seus privilégios e obtenham permissões de sistema. Além disso, foram identificadas outras vulnerabilidades significativas, como a CVE-2025-54100 e a CVE-2025-64671, ambas relacionadas a injeções de comando em PowerShell e GitHub Copilot, respectivamente. A exploração dessas falhas pode levar a compromissos de segurança em larga escala, especialmente quando combinadas com técnicas de engenharia social. A CISA dos EUA já incluiu a CVE-2025-62221 em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, exigindo que agências federais apliquem o patch até 30 de dezembro de 2025. O total de CVEs corrigidos pela Microsoft em 2025 ultrapassou 1.275, destacando a crescente preocupação com a segurança em suas plataformas.

A Microsoft lançou correções para uma vulnerabilidade crítica em arquivos de atalho do Windows, identificada como CVE-2025-9491. Essa falha, que já foi explorada em ataques por grupos de hackers e estados estrangeiros, permite que comandos maliciosos sejam ocultados em arquivos do tipo LNK. Para que a exploração ocorra, é necessária a interação do usuário, que deve abrir o arquivo. Os cibercriminosos costumam enviar esses arquivos disfarçados em anexos compactados, como ZIP, para evitar detecções. A vulnerabilidade se aproveita da forma como o Windows exibe os atalhos, permitindo que códigos maliciosos sejam executados sem que o usuário perceba, uma vez que o campo Target do atalho só mostra os primeiros 260 caracteres. Apesar da correção da Microsoft, que agora exibe todos os caracteres do campo Target, a falha não é completamente resolvida, pois os comandos maliciosos permanecem. A ACROS Security, por sua vez, lançou uma correção alternativa que limita os atalhos a 260 caracteres e alerta os usuários sobre potenciais perigos. Essa situação destaca a necessidade de vigilância constante e educação em segurança cibernética para evitar que usuários caiam em armadilhas.

A Microsoft lançou um patch silencioso em novembro de 2025 para corrigir a vulnerabilidade CVE-2025-9491, que afeta arquivos de atalho (.LNK) do Windows. Essa falha, que existe desde 2017, permite que atacantes executem código remotamente ao manipular a interface do usuário, ocultando comandos maliciosos através de caracteres em branco. A vulnerabilidade foi explorada por grupos patrocinados por estados, incluindo nações como China, Irã, Coreia do Norte e Rússia, em campanhas de espionagem e roubo de dados. A falha foi inicialmente revelada em março de 2025, e, apesar de a Microsoft ter inicialmente decidido não corrigir o problema, a crescente exploração levou à liberação do patch. O novo comportamento do sistema agora exibe o comando completo no diálogo de propriedades, independentemente do seu comprimento, mitigando o risco de ocultação. A 0patch, por sua vez, oferece uma micropatch que alerta os usuários ao tentarem abrir arquivos .LNK com mais de 260 caracteres, destacando a necessidade de proteção contínua contra ataques que possam utilizar essa vulnerabilidade.

A Microsoft informou que uma atualização do Windows 11, lançada desde agosto de 2025, apresenta um bug que faz com que a opção de login por senha fique invisível na tela de bloqueio. Esse problema afeta usuários que utilizam a atualização prévia KN5064081 ou versões posteriores nos sistemas Windows 11 24h2 e 25H2. Embora o botão de senha continue funcional, ele não é exibido se o usuário não tiver outras opções de login disponíveis, como PIN ou biometria. Para contornar essa falha, a Microsoft sugere que os usuários passem o cursor do mouse sobre o ícone, o que faz a opção de senha reaparecer. A empresa está ciente do problema e trabalha em uma solução, mas ainda não disponibilizou um patch. Além disso, a mesma atualização causou outros problemas, como travamentos em vídeos protegidos por DRM. A situação destaca a importância de monitorar atualizações e suas consequências no desempenho do sistema operacional.

A Microsoft anunciou que, a partir de outubro de 2026, implementará melhorias na segurança da autenticação do Entra ID, bloqueando ataques de injeção de scripts não autorizados. A atualização da Política de Segurança de Conteúdo (CSP) permitirá apenas a execução de scripts provenientes de domínios confiáveis da Microsoft durante o processo de login em ’login.microsoftonline.com’. Essa medida visa proteger os usuários contra ataques de Cross-Site Scripting (XSS), que possibilitam a injeção de códigos maliciosos em sites. A mudança se aplica exclusivamente a experiências de login baseadas em navegador e não afetará o Microsoft Entra External ID. A Microsoft recomenda que as organizações testem seus fluxos de autenticação antes da implementação para evitar problemas. Além disso, a empresa aconselha a não utilização de extensões de navegador que injetem códigos durante o login. Essa atualização faz parte da Iniciativa de Futuro Seguro da Microsoft, que busca priorizar a segurança no desenvolvimento de novos produtos, especialmente em resposta a um relatório que indicou a necessidade de uma reforma na cultura de segurança da empresa. Outras medidas de segurança já implementadas incluem a adoção de autenticação multifator resistente a phishing e a migração de serviços para ambientes mais seguros.

A Microsoft anunciou uma nova funcionalidade para telas de sinalização digital, que visa minimizar a exibição prolongada de erros do sistema, como a famosa Tela Azul da Morte (BSOD). Com o novo modo de Sinalização Digital, os erros serão exibidos por apenas quinze segundos antes que a tela seja apagada, exigindo interação física para reativação. Essa mudança é especialmente relevante para ambientes públicos, como painéis de transporte e exibições comerciais, onde a presença de mensagens de erro pode causar constrangimento. Além disso, a Microsoft está introduzindo ferramentas de recuperação, como a recuperação de ponto no tempo, permitindo que os usuários revertam sistemas para configurações anteriores. As opções de restauração podem ser agendadas em intervalos de quatro a vinte e quatro horas, com períodos de retenção de seis a setenta e duas horas. A empresa também está implementando a reconstrução em nuvem para o Windows 11, facilitando a reinstalação e configuração remota de dispositivos. Outras melhorias incluem a criptografia BitLocker acelerada por hardware e suporte a algoritmos de criptografia pós-quântica, visando reforçar a proteção de dados em ambientes corporativos.

Recentemente, a Microsoft enfrentou um dos maiores ataques de negação de serviço (DDoS) já registrados, com um pico de 15,72 terabits por segundo (Tbps) provenientes de 500 mil endereços IP diferentes. O ataque, que utilizou inundações de tráfego UDP, teve como alvo um endereço IP público na Austrália, parte da infraestrutura Azure da empresa. A botnet responsável, identificada como Aisuru, explorou vulnerabilidades em dispositivos de Internet das Coisas (IoT), como roteadores e câmeras de vigilância, para realizar o ataque. Este incidente envolveu aproximadamente 3,64 bilhões de pacotes por segundo e é parte de uma série de ataques que a Aisuru tem realizado, incluindo um recorde anterior de 22,2 Tbps contra a Cloudflare. A Microsoft destacou que os atacantes usaram técnicas de spoofing mínimas, o que facilitou a identificação e neutralização dos agentes maliciosos. O aumento da capacidade da botnet Aisuru está associado a uma invasão em um servidor de atualização de firmware, comprometendo 100 mil dispositivos. O crescimento dos ataques DDoS é alarmante, com um aumento de 358% nos incidentes reportados em 2025, totalizando 21,3 milhões de ataques.

O malware Sneaky 2FA, associado ao modelo Phishing-as-a-Service (PhaaS), introduziu a funcionalidade Browser-in-the-Browser (BitB), facilitando ataques de phishing para roubo de credenciais de contas Microsoft. Essa técnica, documentada pelo pesquisador de segurança mr.d0x, utiliza HTML e CSS para criar janelas de navegador falsas que imitam páginas de login legítimas, enganando os usuários. O ataque começa com um URL suspeito que, após uma verificação de proteção contra bots, exibe um botão ‘Entrar com Microsoft’ para acessar um documento PDF. Ao clicar, o usuário é redirecionado para uma página de phishing que coleta informações de login. Além disso, os atacantes utilizam técnicas de carregamento condicional e obfuscação para evitar a detecção. A pesquisa também destaca a possibilidade de ataques que burlam métodos de autenticação resistentes a phishing, como os passkeys, por meio de extensões maliciosas que manipulam o processo de autenticação. Com a evolução contínua das técnicas de phishing, é crucial que usuários e organizações adotem medidas de segurança rigorosas, como políticas de acesso condicional, para mitigar o risco de sequestro de contas.

A Microsoft anunciou a neutralização de um ataque de negação de serviço distribuído (DDoS) que atingiu 15,72 terabits por segundo (Tbps) e 3,64 bilhões de pacotes por segundo (pps), o maior já observado na nuvem. O ataque, originado de uma botnet de Internet das Coisas (IoT) chamada AISURU, envolveu mais de 500.000 endereços IP de origem. Os ataques foram caracterizados por inundações UDP de alta taxa, com pouca falsificação de origem, o que facilitou a rastreabilidade. A botnet AISURU, composta por cerca de 300.000 dispositivos infectados, como roteadores e câmeras de segurança, é responsável por alguns dos maiores ataques DDoS registrados. Embora a Microsoft tenha conseguido neutralizar o ataque, a vulnerabilidade dos dispositivos comprometidos ainda representa um risco. Além disso, a botnet também é utilizada para outras atividades ilícitas, como phishing e scraping. A crescente capacidade de ataque é impulsionada pelo aumento da velocidade da internet e pela potência dos dispositivos IoT. Este incidente destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger infraestruturas críticas.

A Microsoft anunciou a implementação de um novo recurso no Teams, destinado a usuários premium, que bloqueia automaticamente a captura de tela durante reuniões. Denominada ‘prevent screen capture’, essa funcionalidade visa aumentar a segurança digital, evitando o vazamento de informações sensíveis. Quando ativado, o recurso impede que os usuários capturem a tela durante chamadas de vídeo, resultando em um retângulo preto na tela para usuários de Windows ou uma mensagem de restrição para aqueles em dispositivos Android. É importante ressaltar que o bloqueio não é ativado por padrão; os organizadores das reuniões devem habilitá-lo manualmente. Essa medida é especialmente relevante em um contexto corporativo, onde a proteção de dados é crucial. A Microsoft também destacou que o bloqueio não se aplica a plataformas que não suportam essa funcionalidade, limitando o acesso a áudio apenas. Com essa atualização, a empresa busca reforçar a segurança em um ambiente de trabalho cada vez mais digitalizado e vulnerável a ataques cibernéticos.

A Microsoft lançou um pacote de correções em 11 de novembro de 2025, abordando 63 falhas de segurança no Windows, incluindo uma vulnerabilidade crítica de dia zero, identificada como CVE-2025-62215. Dentre as falhas corrigidas, quatro foram classificadas como críticas e 59 como importantes. As vulnerabilidades incluem 29 relacionadas à escalada de privilégios, 16 à execução remota de código e 11 à divulgação de informações. A falha de dia zero, descoberta pelo Centro de Inteligência de Ameaças da Microsoft, permitia que um invasor, já com acesso ao sistema, aumentasse seus privilégios localmente devido a uma condição de corrida no kernel do Windows. Essa falha poderia permitir que hackers sobrescrevessem a memória do sistema, sequestrando o fluxo de execução. A Microsoft não divulgou detalhes sobre a exploração da vulnerabilidade, mas especialistas acreditam que ela pode ter sido utilizada em ataques de phishing ou outras falhas. As correções se somam a 27 vulnerabilidades já solucionadas desde a última atualização de segurança do Edge, em outubro de 2025.

Na última terça-feira, a Microsoft lançou patches para 63 novas vulnerabilidades de segurança em seus softwares, incluindo uma que está sendo ativamente explorada. Dentre as falhas, quatro são classificadas como Críticas e 59 como Importantes. A vulnerabilidade zero-day CVE-2025-62215, com um score CVSS de 7.0, é uma falha de escalonamento de privilégios no Windows Kernel, permitindo que um atacante autorizado eleve seus privilégios locais. Para explorar essa falha, o invasor precisa já ter acesso ao sistema e utilizar um aplicativo especialmente elaborado para provocar uma condição de corrida. Além disso, foram corrigidas falhas críticas relacionadas a buffer overflow que podem resultar em execução remota de código. A vulnerabilidade no Kerberos (CVE-2025-60704), que permite a um atacante assumir o controle de um domínio, também é preocupante, pois pode ser explorada por quem já possui acesso inicial ao sistema. As atualizações são essenciais para proteger as organizações, especialmente aquelas que utilizam Active Directory. É fundamental que as empresas brasileiras realizem a atualização de seus sistemas para mitigar esses riscos.

A Microsoft anunciou a descoberta de um novo tipo de ataque cibernético denominado ‘Whisper Leak’, que consegue expor os tópicos discutidos em chats com chatbots de IA, mesmo quando as conversas estão totalmente criptografadas. A pesquisa da empresa indica que atacantes podem analisar o tamanho e o tempo dos pacotes criptografados trocados entre um usuário e um modelo de linguagem, permitindo inferir o conteúdo das discussões. Embora a criptografia proteja o conteúdo das mensagens, a vulnerabilidade reside na forma como os modelos de linguagem enviam respostas, transmitindo dados de forma incremental. Isso cria padrões que podem ser analisados por invasores, permitindo deduzir informações sensíveis. Após a divulgação, empresas como OpenAI e Mistral implementaram medidas para mitigar o problema, como a adição de sequências de texto aleatórias nas respostas. A Microsoft recomenda que os usuários evitem discutir assuntos sensíveis em redes Wi-Fi públicas e utilizem VPNs. Além disso, a pesquisa destaca que muitos modelos de linguagem abertos ainda são vulneráveis a manipulações, especialmente em conversas mais longas, levantando preocupações sobre a segurança das plataformas de chat de IA.

Uma pesquisa realizada pela Microsoft testou a eficácia de várias IAs agentic em um ambiente simulado de marketplace, revelando falhas significativas na escolha de produtos e na busca por informações. Utilizando um ambiente open-source chamado Magentic Marketplace, a pesquisa envolveu agentes de IA como o Operator da OpenAI e a Business AI da Meta, além de modelos como GPT-5 e Gemini 2.5 Flash. Os agentes foram designados a encontrar o melhor preço entre 300 lojas, mas muitos falharam em realizar comparações adequadas, optando por escolhas que pareciam ‘boas o suficiente’ sem uma análise aprofundada. O estudo também explorou a vulnerabilidade das IAs a manipulações, onde a maioria sucumbiu a táticas de marketing, exceto o Claude Sonnet 4, que se mostrou resistente. Essas falhas levantam preocupações sobre a confiabilidade das IAs como assistentes pessoais, especialmente em contextos críticos como o mercado financeiro, onde decisões automatizadas podem ter consequências significativas. A pesquisa destaca a necessidade de um treinamento mais robusto para essas tecnologias antes que possam ser confiáveis em transações importantes.

Durante o Seattle Security Campus Tour, a Microsoft apresentou sua visão sobre como a inteligência artificial (IA) e a colaboração global estão moldando o futuro da segurança digital. Frank X. Shaw, Diretor de Comunicação Global da Microsoft, destacou que a confiança é fundamental para a inovação, introduzindo o Secure Future Initiative (SFI), um programa que orienta o desenvolvimento de produtos e a resposta a incidentes. Vasu Jakkal, vice-presidente corporativa de Segurança, enfatizou que a segurança deve ser parte integrante de todos os processos da empresa, processando diariamente mais de 100 trilhões de sinais de segurança. A automação na detecção de falhas humanas foi exemplificada por um incidente em que um token interno foi exposto no GitHub, gerando um alerta imediato. Tori Westerhoff, do Red Team de IA, revelou que sua equipe simula ataques aos modelos de IA da Microsoft, explorando vulnerabilidades e comportamentos inesperados. Por fim, Herain Oberoi apresentou uma plataforma de defesa integrada que utiliza IA para proteger dados e identidades, ressaltando a importância do equilíbrio entre autonomia da IA e responsabilidade humana. A segurança, segundo os executivos, não é apenas um produto, mas a base para inovação e liberdade digital.

Durante o Microsoft Security Campus Tour, a Digital Crimes Unit (DCU) da Microsoft foi apresentada como um núcleo global dedicado à investigação de crimes digitais. Sob a liderança de Steve Masada, a equipe atua em três frentes principais: interromper infraestruturas criminosas, fornecer suporte jurídico e orientar empresas e governos em resposta a incidentes. A DCU monitora centenas de grupos de hackers e analisa bilhões de sinais de segurança diariamente, utilizando dados de produtos como Windows e Azure para agir de forma preventiva. Além disso, a equipe realiza simulações de crise cibernética para preparar empresas para possíveis ataques. Richard Domingues Boscovich, advogado sênior da DCU, destacou um caso recente de uso indevido de inteligência artificial generativa, onde imagens difamatórias foram criadas e disseminadas. A investigação levou à identificação dos responsáveis e à aplicação de ações legais. A DCU busca neutralizar o ecossistema criminoso e tornar o cibercrime mais difícil e caro. A abordagem da Microsoft enfatiza a antecipação de ameaças e a utilização de tecnologia como ferramenta de defesa, consolidando a segurança digital como um pilar essencial da inovação.

Pesquisadores da Equipe de Detecção e Resposta (DART) da Microsoft identificaram um novo malware chamado SesameOp, que utiliza a API Assistants da OpenAI como centro de comando e controle. Este malware foi detectado após uma série de ataques em julho de 2025 e é capaz de permanecer ativo em sistemas invadidos por meses, utilizando serviços em nuvem para comunicação. Os hackers enviam comandos criptografados à API, que os repassa ao malware, que por sua vez criptografa os dados roubados e os envia de volta. O SesameOp se destaca por não explorar vulnerabilidades da plataforma da OpenAI, mas sim por abusar de funcionalidades existentes. O malware é implementado através de um loader ofuscado e backdoor baseado em .NET, utilizando ferramentas do Microsoft Visual Studio para injeção. A Microsoft e a OpenAI estão colaborando nas investigações, que já resultaram na desativação de contas e chaves de API associadas aos cibercriminosos. Para mitigar riscos, recomenda-se que empresas auditem seus registros de firewall e monitorem atividades não autorizadas.

A Microsoft identificou um problema que pode afetar usuários de sistemas operacionais Windows após a atualização de segurança de outubro de 2025. Dispositivos com processadores Intel que suportam a tecnologia Connected Standby podem apresentar telas de recuperação do BitLocker inesperadamente durante reinicializações, exigindo que os usuários insiram manualmente a chave de recuperação para restaurar a funcionalidade normal. O problema afeta as versões do Windows 11 (24H2 e 25H2) e do Windows 10 (22H2). A situação ocorre após a instalação de atualizações lançadas em ou após 14 de outubro de 2025. A Microsoft está investigando a causa raiz e já ativou um recurso de reversão de problemas conhecido (KIR) para mitigar o impacto. Embora a interrupção seja temporária e a funcionalidade de criptografia permaneça intacta, a empresa recomenda que os usuários mantenham suas chaves de recuperação acessíveis e monitorem o painel de saúde do Windows para atualizações sobre a resolução do problema. Servidores Windows não são afetados, limitando o impacto principalmente a estações de trabalho de consumidores e empresas.

A Microsoft anunciou uma nova medida de segurança que entrará em vigor em fevereiro de 2026, visando proteger as credenciais do Microsoft Entra armazenadas em dispositivos móveis comprometidos. A partir dessa data, o aplicativo Microsoft Authenticator detectará iPhones com jailbreak e dispositivos Android com root, removendo automaticamente todas as credenciais armazenadas. Essa ação visa prevenir o acesso não autorizado e o roubo de credenciais, uma vez que dispositivos modificados desativam as proteções de segurança padrão, permitindo que aplicativos maliciosos acessem dados sensíveis. A remoção das credenciais é uma resposta a um vetor de ataque crítico que cibercriminosos exploram ativamente. Embora a funcionalidade do Authenticator para contas Microsoft Entra seja desativada em dispositivos comprometidos, contas pessoais e métodos de autenticação de terceiros continuarão operando normalmente. As organizações devem comunicar essa mudança aos usuários para evitar interrupções operacionais e desenvolver estratégias de comunicação claras sobre a importância dessa medida de segurança. Essa decisão da Microsoft reflete uma tendência crescente na indústria de priorizar a segurança em dispositivos móveis, especialmente em um cenário onde o trabalho remoto e os serviços baseados em nuvem dependem cada vez mais da autenticação móvel.

A Microsoft reconheceu um erro crítico na distribuição de uma atualização do Windows Server Update Services (WSUS) que afetou sistemas do Windows Server 2025 inscritos no programa Hotpatch. Essa atualização foi distribuída acidentalmente para máquinas que deveriam receber apenas atualizações Hotpatch, resultando em uma interrupção significativa no processo de aplicação de patches sem reinicialização do sistema. Embora a Microsoft tenha corrigido rapidamente o erro, as organizações afetadas enfrentarão um intervalo de três meses na funcionalidade do Hotpatch e precisarão seguir procedimentos específicos para restaurar as operações normais. Os sistemas que instalaram a atualização incorreta não receberão atualizações Hotpatch programadas para novembro e dezembro de 2025, mas sim atualizações mensais padrão que exigem reinicializações. Para mitigar o problema, a Microsoft oferece um procedimento para que administradores que ainda não instalaram a atualização problemática possam reverter para a versão correta. A situação destaca a complexidade da gestão de múltiplos canais de atualização em ambientes corporativos grandes e a importância de um gerenciamento cuidadoso de patches.

A Microsoft divulgou detalhes sobre um novo backdoor chamado SesameOp, que utiliza a API de Assistentes da OpenAI para comunicações de comando e controle (C2). Em um relatório técnico, a equipe de Resposta a Incidentes da Microsoft (DART) explicou que, em vez de métodos tradicionais, os atacantes abusam da OpenAI como um canal C2 para orquestrar atividades maliciosas de forma furtiva. O backdoor foi descoberto em julho de 2025, após uma intrusão sofisticada que permitiu que os atacantes mantivessem acesso persistente ao ambiente comprometido por vários meses. O malware é projetado para executar comandos recebidos através da API da OpenAI, que serve como um mecanismo de armazenamento ou retransmissão. A cadeia de infecção inclui um componente carregador e um backdoor baseado em .NET, que busca comandos criptografados, os decodifica e os executa localmente. Os resultados são enviados de volta à OpenAI. A Microsoft informou que compartilhou suas descobertas com a OpenAI, que desativou uma chave de API e uma conta associada ao adversário. Este incidente destaca o uso crescente de ferramentas legítimas para fins maliciosos, dificultando a detecção de atividades maliciosas em redes normais.

O cenário de cibersegurança está cada vez mais voltado para ataques baseados em nuvem, com criminosos cibernéticos explorando ferramentas de segurança legítimas para realizar reconhecimento malicioso. A AzureHound, uma ferramenta de teste de penetração destinada a profissionais de segurança autorizados, foi transformada em uma arma por atacantes que buscam comprometer ambientes do Azure e do Microsoft Entra ID. Pesquisadores de segurança relataram que adversários sofisticados, como grupos apoiados pelo Irã e pela Rússia, estão utilizando a AzureHound em suas atividades de descoberta pós-compromisso. A ferramenta coleta dados através das APIs do Microsoft Graph e Azure REST, permitindo que atacantes mapeiem caminhos de ataque, identifiquem alvos de alto valor e descubram oportunidades de escalonamento de privilégios. Após obter acesso inicial ao ambiente da vítima, os atacantes podem usar a AzureHound para enumerar rapidamente todo o inquilino do Azure, sem necessidade de posicionamento especial na rede. Para se proteger contra o abuso da AzureHound, as organizações devem implementar controles de segurança em camadas, como autenticação multifator, políticas de acesso condicional e monitoramento de atividades da API do Azure. A vigilância contínua e a resposta rápida a incidentes são essenciais para mitigar esses riscos.

A Microsoft corrigiu uma vulnerabilidade crítica no driver Windows Cloud Files Minifilter, identificada como CVE-2025-55680, que permite a atacantes locais escalar privilégios e criar arquivos arbitrários no sistema. Descoberta por pesquisadores da Exodus Intelligence em março de 2024, a falha foi incluída nas atualizações de segurança de outubro de 2025, recebendo uma pontuação CVSS de 7.8 devido à sua capacidade de conceder acesso em nível SYSTEM por meio de técnicas de side-loading de DLLs.

A Microsoft lançou uma atualização de segurança para corrigir uma vulnerabilidade crítica no ASP.NET Core, identificada como CVE-2025-55315, que expõe organizações a ataques de ‘HTTP request smuggling’. Com uma pontuação CVSS 3.1 de 9.9, a gravidade da falha exige uma correção imediata em ambientes corporativos. A vulnerabilidade surge da forma como o servidor web Kestrel, parte do ASP.NET Core, processa requisições HTTP. Em determinadas condições, o servidor não valida corretamente os limites das requisições, permitindo que atacantes criem requisições maliciosas que ocultam outras requisições dentro delas. Isso pode contornar controles de segurança críticos, como autenticação e validação de entrada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre a exploração ativa de uma vulnerabilidade crítica no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha permite que atacantes não autenticados executem código remotamente com privilégios de sistema em servidores vulneráveis. A Microsoft lançou uma atualização de segurança emergencial em 23 de outubro de 2025, após descobrir que um patch anterior não resolveu completamente o problema. A vulnerabilidade afeta várias versões do Windows Server, incluindo 2012, 2016, 2019, 2022 e 2025, e é especialmente perigosa para organizações que utilizam o WSUS com as portas 8530 ou 8531 abertas. Os atacantes podem obter controle total sobre os sistemas afetados, possibilitando a instalação de ransomware, roubo de dados sensíveis e criação de backdoors. A CISA recomenda que as organizações identifiquem imediatamente os servidores vulneráveis e apliquem a atualização de segurança, além de considerar medidas temporárias, como desabilitar o WSUS ou bloquear o tráfego nas portas mencionadas. A situação é crítica, e a falta de ação pode resultar em sérias consequências para a segurança das informações das empresas.

No dia 24 de outubro de 2025, a Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287, com uma pontuação CVSS de 9.8. Essa falha permite a execução remota de código e já está sendo explorada ativamente na natureza, com um exploit de prova de conceito (PoC) disponível publicamente. A vulnerabilidade resulta da desserialização insegura de dados não confiáveis, permitindo que um atacante não autenticado execute código remotamente. A Microsoft recomenda que os administradores de sistemas instalem a atualização imediatamente e realizem uma reinicialização do sistema. Como medidas temporárias, é aconselhável desativar o papel do servidor WSUS e bloquear o tráfego nas portas 8530 e 8531. A situação é crítica, pois o Centro Nacional de Segurança Cibernética da Holanda relatou que a exploração da vulnerabilidade foi observada no mesmo dia do anúncio. A CISA dos EUA também incluiu essa falha em seu catálogo de vulnerabilidades exploradas, exigindo que agências federais a remediem até 14 de novembro de 2025.

A Microsoft implementou uma atualização de segurança no Windows File Explorer a partir de 14 de outubro de 2025, que desativa automaticamente o painel de pré-visualização para arquivos baixados. Essa medida visa mitigar uma vulnerabilidade que poderia expor hashes NTLM, credenciais sensíveis usadas na autenticação em redes. O vetor de ataque envolve a pré-visualização de arquivos maliciosos que incorporam elementos HTML, permitindo que solicitações de rede não autorizadas sejam disparadas em segundo plano. Com a nova atualização, arquivos de fontes não confiáveis são marcados com o atributo ‘Mark of the Web’, impedindo a pré-visualização e exibindo um aviso ao usuário. Embora a maioria dos usuários não sinta um impacto significativo, a proteção é ativada automaticamente, priorizando a segurança sem comprometer a usabilidade. Para arquivos confiáveis, os usuários podem facilmente reverter a proteção. Essa mudança é especialmente benéfica para ambientes corporativos, onde a segurança é crucial, reduzindo a superfície de ataque e promovendo hábitos de segurança mais seguros. A atualização é um passo importante na luta contra o roubo de credenciais, mantendo os sistemas Windows mais resilientes frente a ameaças cibernéticas.

Uma investigação realizada pelo Varonis Threat Labs revelou uma vulnerabilidade crítica que permitiu a hackers criar aplicativos maliciosos no Azure utilizando nomes reservados da Microsoft. Ao contornar as salvaguardas, os atacantes conseguiram registrar nomes enganosos, como ‘Azure Portal’, induzindo os usuários a conceder permissões perigosas. Essa falha possibilitou que cibercriminosos obtivessem acesso inicial, mantivessem persistência e escalassem privilégios em ambientes Microsoft 365, expondo organizações a riscos de perda de dados e danos à reputação.

A Microsoft Threat Intelligence emitiu um alerta urgente sobre o aumento de atividades maliciosas direcionadas ao Azure Blob Storage. Essas campanhas exploram configurações inadequadas, assinaturas de acesso compartilhado (SAS) excessivamente permissivas e credenciais comprometidas para infiltrar, persistir e exfiltrar dados sensíveis de empresas armazenados em repositórios na nuvem. O Azure Blob Storage, que suporta operações críticas como inteligência artificial e análises, tornou-se um alvo atraente devido à sua capacidade de gerenciar grandes volumes de dados não estruturados.

Um novo relatório do Cofense Phishing Defense Center revela que criminosos estão explorando a confiança que os usuários depositam na marca Microsoft para realizar fraudes. A campanha começa com um e-mail que simula uma comunicação legítima de uma empresa, como uma locadora de veículos, prometendo um reembolso. Ao clicar no link, o usuário é redirecionado para uma página falsa que imita um sistema de verificação CAPTCHA. Essa etapa visa enganar ferramentas de segurança automatizadas e criar uma sensação de autenticidade.

Em 14 de outubro de 2025, a Microsoft lançou um patch abrangente que corrige 183 falhas de segurança em seus produtos relacionados ao Windows, incluindo três vulnerabilidades zero-day que estavam sendo ativamente exploradas. Este lançamento ocorre após o término do suporte ao Windows 10, exceto para usuários do programa de Atualizações de Segurança Estendidas (ESU). Das 183 correções, 165 foram classificadas como ‘importantes’, 17 como ‘críticas’ e apenas uma como ‘moderada’. As vulnerabilidades abordadas incluem elevação de privilégios, execução remota de código e vazamento de informações. As falhas zero-day mais preocupantes são CVE-2025-24990 e CVE-2025-59230, ambas permitindo que hackers executem códigos com privilégios elevados. A primeira será resolvida com a remoção do driver afetado, enquanto a segunda é a primeira vulnerabilidade no gerenciamento de conexão de acesso remoto a ser explorada dessa forma. Além disso, a CVE-2025-47827, que contorna o Secure Boot, apresenta um risco baixo, pois requer acesso físico ao dispositivo. A correção dessas vulnerabilidades é crucial para proteger usuários e empresas que ainda utilizam o Windows 10.

Pesquisadores do Centro de Defesa Contra Phishing Cofense alertam sobre um novo golpe que simula ser o suporte da Microsoft, bloqueando o acesso ao navegador e solicitando que a vítima entre em contato com um número de telefone. O ataque começa com um e-mail de phishing que oferece um reembolso falso, levando a um CAPTCHA para evitar detecções automáticas. Em seguida, uma página pop-up imita alertas de segurança da Microsoft, fazendo o usuário acreditar que seu computador foi comprometido. Para resolver a situação, é solicitado que a vítima ligue para um número, onde um falso técnico de suporte pode solicitar credenciais ou induzir a instalação de ferramentas de acesso remoto. Este golpe é um exemplo claro de engenharia social, utilizando a confiança que os usuários têm em grandes marcas. É importante que os usuários estejam cientes de que a Microsoft nunca trancaria um navegador ou pediria que ligassem para um suporte através de um pop-up. A recomendação é sempre desconfiar de comunicações desse tipo.

Um novo golpe de phishing, analisado pelo Cofense Phishing Defense Center, explora a confiança dos usuários na marca Microsoft para aplicar fraudes de suporte técnico. O ataque começa com um e-mail que se passa por uma empresa chamada ‘Syria Rent a Car’, prometendo um reembolso em troca da verificação do e-mail do usuário. Ao clicar no link, a vítima é direcionada a um desafio CAPTCHA falso, que visa enganar tanto o usuário quanto ferramentas de detecção de phishing. Após essa etapa, a vítima é levada a uma página que simula mensagens de segurança da Microsoft, criando uma falsa sensação de urgência ao afirmar que o sistema foi comprometido. O navegador parece travado, e pop-ups insistem que o usuário entre em contato com um número de suporte que, na verdade, conecta a engenheiros sociais que tentam obter credenciais ou instalar ferramentas de acesso remoto. Este golpe destaca como a confiança nas marcas pode ser manipulada para intensificar os métodos tradicionais de phishing, exigindo que as empresas adotem treinamentos de conscientização e respostas integradas a tentativas de phishing.

A Microsoft anunciou a revogação de mais de 200 certificados utilizados pelo grupo de cibercriminosos conhecido como Vanilla Tempest, que assina fraudulentamente binários maliciosos em ataques de ransomware. Esses certificados foram empregados em arquivos de instalação falsos do Microsoft Teams para entregar o backdoor Oyster e, por fim, implantar o ransomware Rhysida. A atividade foi detectada no final de setembro de 2025, e a Microsoft já atualizou suas soluções de segurança para sinalizar as assinaturas associadas a esses arquivos maliciosos. O grupo Vanilla Tempest, que opera desde julho de 2022, é conhecido por distribuir diversas variantes de ransomware, incluindo BlackCat e Quantum Locker. O backdoor Oyster é frequentemente disseminado por meio de instaladores trojanizados de softwares populares, utilizando domínios maliciosos que imitam sites legítimos. A Microsoft alerta que os usuários são frequentemente direcionados a esses sites por meio de técnicas de SEO, que manipulam resultados de busca. Para se proteger, é recomendado baixar softwares apenas de fontes verificadas e evitar clicar em links suspeitos.

A Microsoft anunciou a interrupção de uma campanha sofisticada de ciberataques liderada pelo grupo Vanilla Tempest, também conhecido como VICE SPIDER e Vice Society. A ação envolveu a revogação de mais de 200 certificados de assinatura de código obtidos fraudulentamente. A campanha, que começou em setembro de 2025, utilizou arquivos de instalação falsificados do Microsoft Teams para implantar um backdoor chamado Oyster e, posteriormente, o ransomware Rhysida. Os atacantes criaram sites que se passavam por portais oficiais de download do Teams, utilizando técnicas de SEO para atrair vítimas. Após a execução do instalador falso, o backdoor Oyster permitia acesso persistente aos sistemas comprometidos. A Microsoft agiu rapidamente para revogar os certificados, invalidando as chaves usadas nos arquivos de instalação e atualizando o Microsoft Defender para detectar as ameaças associadas. A ação ressalta a importância da gestão robusta de certificados e do compartilhamento de inteligência em tempo real, ajudando a proteger clientes globalmente e a estabelecer um precedente para a colaboração entre autoridades certificadoras e a comunidade de cibersegurança.

Uma nova vulnerabilidade no Internet Information Services (IIS) da Microsoft, identificada como CVE-2025-59282, possibilita que atacantes executem código arbitrário em sistemas afetados. A falha decorre de uma condição de corrida e de um cenário de uso após liberação em componentes de memória compartilhada. Classificada como importante, a vulnerabilidade possui um escore CVSS 3.1 de 7.0, indicando que, embora a exploração seja considerada local, um invasor precisa persuadir um usuário legítimo a abrir um arquivo malicioso. A complexidade do ataque é alta, exigindo um tempo preciso para explorar a falha de sincronização. A Microsoft lançou um patch em 14 de outubro de 2025, recomendando que todas as versões suportadas do Windows Server com IIS sejam atualizadas imediatamente. Organizações devem revisar suas instalações do IIS e desativar recursos de objetos COM inbox, a menos que sejam explicitamente necessários. Medidas como a lista de permissões de aplicativos podem ajudar a prevenir a execução de arquivos não confiáveis.

No dia 15 de outubro de 2025, a Microsoft lançou correções para 183 falhas de segurança em seus produtos, incluindo três vulnerabilidades que estão sendo ativamente exploradas. Este lançamento ocorre em um momento crítico, pois a empresa encerrou oficialmente o suporte ao Windows 10, exceto para PCs que participam do programa de Atualizações de Segurança Estendidas (ESU). Das 183 vulnerabilidades, 165 foram classificadas como importantes, 17 como críticas e uma como moderada. As falhas mais preocupantes incluem duas vulnerabilidades de elevação de privilégios (CVE-2025-24990 e CVE-2025-59230), que permitem a execução de código com privilégios elevados. Além disso, uma vulnerabilidade de bypass de Secure Boot (CVE-2025-47827) foi identificada no IGEL OS, que pode permitir a instalação de rootkits. Todas essas falhas foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, exigindo que agências federais apliquem os patches até 4 de novembro de 2025. O impacto dessas vulnerabilidades pode ser significativo, especialmente em ambientes corporativos que utilizam amplamente as tecnologias da Microsoft.

Em 15 de outubro de 2025, a Microsoft lançou sua atualização mensal de segurança, conhecida como Patch Tuesday, corrigindo um total de 172 vulnerabilidades em seu ecossistema de produtos. Dentre essas, destacam-se quatro falhas zero-day, sendo que duas delas estão ativamente sendo exploradas por atacantes. A vulnerabilidade CVE-2025-59230, por exemplo, permite que atacantes locais elevem seus privilégios no Windows Remote Access Connection Manager. Além disso, foram corrigidas falhas críticas de execução remota de código (RCE) em aplicativos como Microsoft Office e Excel, que podem conceder controle total do sistema ao abrir arquivos maliciosos. A atualização também abrange 80 vulnerabilidades de elevação de privilégio, que permitem que atacantes já dentro do sistema aumentem suas permissões, e uma variedade de outras falhas, incluindo problemas de divulgação de informações e bypass de recursos de segurança. A amplitude das correções enfatiza a necessidade urgente de que as organizações apliquem essas atualizações para se protegerem contra ameaças cibernéticas emergentes.

No dia 14 de outubro de 2025, o Windows 10 entra na fase de ‘Fim de Vida’ (End of Life), o que significa que a Microsoft não fornecerá mais suporte oficial para este sistema operacional. Isso implica a interrupção de atualizações, correções de bugs e, principalmente, patches de segurança, deixando milhões de usuários vulneráveis a ameaças cibernéticas. Apesar de já ter mais de uma década, o Windows 10 ainda é utilizado por uma grande base de usuários, e a Microsoft está incentivando a migração para o Windows 11. Além disso, empresas concorrentes, como a Apple, estão aproveitando essa transição para atrair usuários do Windows 10. Para ajudar os usuários a entenderem os riscos associados à permanência no Windows 10, a Microsoft disponibiliza ferramentas que permitem verificar a compatibilidade do hardware para a atualização. O artigo também oferece um blog ao vivo com opiniões de especialistas e dicas para facilitar a transição. A falta de suporte pode resultar em um aumento significativo de vulnerabilidades, tornando essencial que os usuários considerem a atualização para garantir a segurança de seus sistemas.

A Microsoft anunciou uma atualização significativa no modo Internet Explorer (IE) de seu navegador Edge, em resposta a relatos de que atores de ameaças estavam explorando essa funcionalidade para acessar dispositivos de usuários de forma não autorizada. Segundo a equipe de Pesquisa de Vulnerabilidades de Navegadores da Microsoft, os atacantes utilizavam técnicas de engenharia social e exploits não corrigidos no motor JavaScript do Internet Explorer, chamado Chakra, para comprometer dispositivos.

Pesquisadores de segurança identificaram vulnerabilidades críticas na infraestrutura de comunicação em nuvem do Microsoft Defender for Endpoint, que permitem a invasores contornar mecanismos de autenticação e manipular operações de resposta a incidentes. A análise das componentes do agente de detecção e resposta a endpoint (EDR), como MsSense.exe e SenseIR.exe, revelou falhas na validação de tokens de autenticação. Isso possibilita que atacantes interceptem comandos de segurança e até mesmo enviem dados falsificados para armazenamento em nuvem, comprometendo a integridade das investigações. Os atacantes podem explorar a falta de controle de autenticação para obter tokens válidos e executar ações maliciosas, como relatar estados de isolamento falsos ou carregar arquivos maliciosos disfarçados. Embora a Microsoft tenha classificado essas falhas como de baixa severidade, a falta de correções claras e a possibilidade de acesso não autorizado a dados de configuração de resposta a incidentes levantam preocupações significativas. Especialistas recomendam que equipes de segurança implementem medidas defensivas imediatas, como monitoramento de padrões de comando e validação de estados de isolamento, até que a Microsoft resolva as vulnerabilidades.

O grupo de cibercriminosos conhecido como Storm-2657 está atacando organizações nos Estados Unidos, especialmente no setor de educação superior, com o objetivo de desviar pagamentos salariais para contas controladas pelos atacantes. Segundo um relatório da equipe de Inteligência de Ameaças da Microsoft, esses ataques não exploram falhas de segurança nas plataformas de software como serviço (SaaS), mas utilizam táticas de engenharia social e a falta de autenticação multifatorial (MFA) para assumir o controle das contas dos funcionários. Os atacantes têm utilizado e-mails de phishing para coletar credenciais e códigos MFA, acessando contas do Exchange Online e modificando perfis no Workday, uma plataforma de gestão de recursos humanos. Além disso, eles criam regras na caixa de entrada para ocultar notificações de mudanças não autorizadas, redirecionando pagamentos salariais para suas contas. A Microsoft identificou 11 contas comprometidas em três universidades, que foram usadas para enviar e-mails de phishing a quase 6.000 contas em 25 instituições. Para mitigar os riscos, recomenda-se a adoção de métodos de MFA resistentes a phishing, como chaves de segurança FIDO2, e a revisão de contas em busca de atividades suspeitas.

A Microsoft emitiu um alerta sobre um grupo de hackers, conhecido como Storm-2657, que está realizando campanhas de roubo de salários em organizações dos Estados Unidos, especialmente no setor de educação superior. Esses ataques ocorrem através da violação de contas de funcionários, permitindo acesso não autorizado a plataformas de recursos humanos como o Workday. Os hackers utilizam e-mails de phishing altamente personalizados para enganar os alvos, muitas vezes se passando por autoridades de saúde do campus. Uma vez que as credenciais e os códigos de autenticação multifator (MFA) são coletados, os atacantes conseguem redirecionar os pagamentos salariais para contas bancárias controladas por eles. A falta de controles de autenticação robustos, como MFA resistente a phishing, é um fator crítico que facilita esses ataques. Para mitigar esses riscos, as organizações são aconselhadas a adotar métodos de autenticação sem senha e a monitorar logs de auditoria de sistemas como o Exchange Online e o Workday para detectar atividades suspeitas. A situação destaca a necessidade urgente de fortalecer as defesas contra engenharia social e melhorar a segurança das informações financeiras dos funcionários.

Pesquisadores em cibersegurança identificaram uma campanha de quishing sofisticada que utiliza técnicas avançadas de manipulação de códigos QR para atacar usuários da Microsoft, conseguindo evadir sistemas tradicionais de detecção de segurança. Essa nova abordagem representa uma evolução significativa nas táticas de phishing baseadas em QR codes, empregando múltiplas estratégias de evasão que desafiam as defesas cibernéticas convencionais.

Os atacantes implementaram três mecanismos distintos para evitar a detecção: a primeira técnica envolve a divisão dos códigos QR em dois arquivos de imagem separados, dificultando a análise por ferramentas automatizadas. Além disso, abandonaram os esquemas de cores padrão, utilizando combinações não convencionais que podem confundir sistemas de reconhecimento óptico. A técnica mais sofisticada consiste em desenhar os códigos QR diretamente através da manipulação do fluxo de conteúdo, permitindo que o código malicioso exista dentro do documento, contornando sistemas de detecção baseados em imagens.

A Microsoft anunciou que o Outlook não exibirá mais imagens SVG inline para mitigar riscos de phishing e malware. A decisão vem em resposta ao aumento do uso malicioso de arquivos SVG, que têm sido utilizados para entregar malware e criar páginas de phishing. Em uma atualização no Microsoft 365 Message Center, a empresa informou que, ao invés de imagens, os usuários verão espaços em branco onde as imagens SVG estariam. No entanto, os arquivos SVG enviados como anexos clássicos continuarão a ser suportados e visualizáveis. A Microsoft destacou que menos de 0,1% das imagens no Outlook utilizam esse método, o que significa que o impacto nas comunicações diárias deve ser mínimo. Essa mudança faz parte de uma estratégia mais ampla da Microsoft para reduzir recursos que podem ser explorados por atacantes, incluindo a restrição de funções em Office e Windows que têm sido utilizadas em campanhas de phishing e malware nos últimos anos.

A Microsoft está investigando um bug que causa falhas no cliente de e-mail clássico do Outlook, afetando usuários do Microsoft 365 que utilizam o software em sistemas Windows. O problema impede o acesso ao serviço e, até o momento, a única solução disponível é através do suporte técnico da Microsoft, especificamente do Exchange Online. Os usuários afetados recebem uma mensagem de erro informando que o Outlook não pôde ser aberto devido a uma falha na autenticação da conta Exchange. A empresa recomenda que os usuários abram um chamado no portal de administrador do Microsoft 365 para que a equipe do Exchange Online possa solicitar uma correção. Além disso, a Microsoft sugere que os usuários façam uma captura de erro utilizando o proxy Fiddler, buscando pelo código de erro “LID: 49586 - Authentication concurrency limit is reached”. Enquanto a solução definitiva não é disponibilizada, a empresa orienta o uso do novo Outlook para Windows ou do Acesso Web do Outlook (OWA). Outras soluções temporárias incluem iniciar o Outlook em modo de segurança, criar um novo perfil e reparar arquivos de dados do Outlook. A situação é crítica, pois o bug afeta a produtividade dos usuários e a Microsoft já enfrentou problemas semelhantes anteriormente, relacionados a instabilidades em seus servidores.

Recentemente, a Microsoft conseguiu bloquear uma campanha de phishing que utilizava código gerado por inteligência artificial (IA) para ocultar um payload malicioso dentro de um arquivo SVG disfarçado como PDF. Os atacantes enviaram e-mails de contas de pequenas empresas comprometidas, utilizando campos BCC para esconder os alvos reais. O arquivo SVG continha elementos ocultos que simulavam um painel de negócios, enquanto um script transformava palavras relacionadas a negócios em código, levando os usuários a uma página de login falsa após um redirecionamento para um CAPTCHA. A análise do arquivo pelo Microsoft Security Copilot revelou características típicas de código gerado por IA, como identificadores longos e comentários genéricos, o que indicou que o código era mais polido do que prático. Embora a campanha tenha sido limitada e facilmente bloqueada, ela destaca como os atacantes estão cada vez mais utilizando IA para criar iscas convincentes e payloads complexos. A Microsoft enfatiza a importância de ferramentas de IA na detecção e resposta a ameaças em larga escala, tanto para defensores quanto para atacantes.