Phishing

A Europol, em colaboração com forças policiais de vários países, incluindo Portugal e o Reino Unido, desmantelou a Tycoon 2FA, uma das maiores plataformas de phishing como serviço (PhaaS) do mundo. Essa operação, que ocorreu em agosto de 2023, conseguiu desativar 330 domínios que formavam a infraestrutura central da plataforma, que permitia a cibercriminosos contornar a autenticação de dois fatores (2FA) com facilidade. A Tycoon 2FA operava como um ataque de adversário no meio (AiTM), interceptando credenciais de login e cookies de sessão, permitindo acesso não autorizado a contas de usuários, mesmo aquelas protegidas por múltiplas camadas de segurança. A plataforma era bastante popular no submundo digital, gerando cerca de 400 mil dólares em criptomoedas em menos de um ano e enviando milhões de e-mails de phishing mensalmente, afetando quase 100 mil organizações globalmente, incluindo instituições educacionais e de saúde. A operação contou com o apoio de empresas como Microsoft e Cloudflare, que ajudaram a identificar e desativar os domínios utilizados pelos atacantes.

O Tycoon 2FA, um dos principais kits de phishing como serviço (PhaaS), foi desmantelado por uma coalizão de agências de segurança e polícia. Lançado em agosto de 2023, o kit permitiu que cibercriminosos realizassem ataques de coleta de credenciais em larga escala, afetando quase 100 mil organizações globalmente, incluindo escolas e hospitais. O kit, que era vendido por meio de plataformas como Telegram e Signal, oferecia um painel de administração web para configurar e monitorar campanhas de phishing, permitindo o acesso a informações sensíveis, como credenciais e códigos de autenticação multifatorial (MFA). O desmantelamento resultou na remoção de 330 domínios associados ao serviço criminoso, que gerava dezenas de milhões de e-mails de phishing mensalmente. A Europol e a Microsoft relataram que o Tycoon 2FA foi responsável por 62% de todas as tentativas de phishing bloqueadas pela Microsoft até meados de 2025. A análise geográfica revelou que os EUA tinham a maior concentração de vítimas, seguidos pelo Reino Unido e Canadá. O impacto desses ataques é significativo, pois pode levar a sequestros de contas e perda de dados sensíveis.

A LastPass, fornecedora de software de gerenciamento de senhas, emitiu um alerta sobre uma campanha de phishing que visa seus usuários. Os atacantes estão enviando e-mails que imitam representantes da LastPass, utilizando nomes de exibição falsificados e linhas de assunto que simulam conversas internas sobre solicitações de alteração de e-mail. Os e-mails contêm links que direcionam os usuários a uma página de login falsa, hospedada no domínio ‘verify-lastpass[.]com’, onde as credenciais dos usuários são coletadas. A LastPass esclareceu que sua infraestrutura não foi comprometida e que seus agentes de suporte nunca solicitarão a senha mestra dos usuários. A empresa está colaborando com parceiros para desativar os sites falsos e recomenda que os usuários relatem comunicações suspeitas. Este não é o primeiro incidente desse tipo; a LastPass já havia alertado anteriormente sobre campanhas de phishing semelhantes. A popularidade da LastPass a torna um alvo frequente para esses ataques, que frequentemente utilizam táticas de engenharia social para induzir os usuários a agir rapidamente e fornecer suas informações pessoais.

Recentemente, a empresa de segurança Malwarebytes identificou uma nova campanha de phishing que utiliza chamadas falsas em plataformas como Zoom e Google Meet para instalar um aplicativo de monitoramento malicioso no Windows. Os hackers criaram um processo que simula a instalação do aplicativo legítimo Teramind, utilizado por empresas para monitorar dispositivos. O golpe começa com um link aparentemente inofensivo que leva a uma página falsa de videochamada, onde o usuário é induzido a baixar um arquivo de atualização. Esse arquivo, na verdade, instala um malware que coleta informações sensíveis, como teclas pressionadas, capturas de tela e histórico de navegação. A campanha também se aproveita da familiaridade dos usuários com essas plataformas de videoconferência, tornando o ataque mais eficaz. Para se proteger, é recomendado verificar o domínio dos links recebidos e evitar instalar atualizações de fontes desconhecidas.

Pesquisadores de cibersegurança revelaram detalhes sobre o grupo de ameaças persistentes avançadas (APT) conhecido como Silver Dragon, que está vinculado a ataques cibernéticos direcionados a entidades na Europa e no Sudeste Asiático desde meados de 2024. O grupo, associado ao APT41, uma notória facção de hackers chineses, utiliza técnicas sofisticadas para obter acesso inicial, como a exploração de servidores expostos na internet e o envio de e-mails de phishing com anexos maliciosos.

Pesquisadores da Microsoft Defender alertam sobre uma nova técnica de ataque que abusa do mecanismo de redirecionamento legítimo do OAuth para contornar as proteções contra phishing em e-mails e navegadores. Os ataques têm como alvo organizações governamentais e do setor público, utilizando links de phishing que induzem os usuários a autenticar-se em aplicativos maliciosos. Os criminosos criam aplicativos OAuth maliciosos em um tenant que controlam, configurando um URI de redirecionamento que aponta para sua infraestrutura. Mesmo que os URLs pareçam legítimos, eles são manipulados para forçar redirecionamentos silenciosos, levando os usuários a páginas de phishing. Em alguns casos, os atacantes utilizam frameworks como EvilProxy para interceptar cookies de sessão válidos, burlando a autenticação multifator (MFA). Além disso, os atacantes podem entregar arquivos ZIP maliciosos que, ao serem abertos, executam scripts PowerShell para realizar reconhecimento e carregar cargas úteis finais. A Microsoft recomenda que as organizações reforcem as permissões para aplicativos OAuth e implementem políticas de Acesso Condicional para mitigar esses riscos.

Um grupo de hackers brasileiros, conhecido como Tropa do Arranca, está utilizando táticas de engenharia social para roubar e desbloquear iPhones, além de acessar dados sensíveis das vítimas. A abordagem combina o roubo físico de dispositivos com técnicas digitais, como phishing. Os criminosos imitam a interface da ferramenta ‘Encontre meu iPhone’, fazendo com que as vítimas acreditem que estão rastreando seus aparelhos perdidos. Ao clicar em links fraudulentos, as vítimas inserem suas credenciais do iCloud, permitindo que os hackers acessem suas contas. Pesquisadores de segurança identificaram um código suspeito em páginas de login do iCloud, que inclui uma assinatura digital do grupo. Os hackers não apenas desbloqueiam os iPhones, mas também os revendem em mercados clandestinos e acessam informações bancárias. Para se proteger, especialistas recomendam que os usuários nunca insiram suas credenciais em links recebidos por mensagens e que utilizem autenticação em dois fatores. A Tropa do Arranca, embora não seja uma rede global, demonstra uma organização crescente e pode expandir suas atividades em outras regiões do Brasil.

A Cloud Imperium Games (CIG), desenvolvedora dos jogos Star Citizen e Squadron 42, revelou que em 21 de janeiro de 2026, seus sistemas foram alvo de um ataque cibernético que resultou no acesso não autorizado a informações básicas de conta de um número não divulgado de usuários. A empresa, fundada em 2012, afirmou que os dados comprometidos incluem metadados, detalhes de contato, nome de usuário, data de nascimento e nome, mas não continham informações financeiras ou credenciais. Apesar do incidente, a CIG acredita que não há risco para a segurança dos usuários, pois não há evidências de que os dados acessados tenham sido vazados online. A empresa está monitorando a situação e tomando medidas para evitar novos incidentes. No entanto, especialistas alertam que as informações pessoais expostas podem ser utilizadas em ataques de phishing. A CIG não respondeu a perguntas sobre notificações a usuários afetados ou se houve demanda de resgate por parte dos atacantes.

Um novo estudo revela que atores de ameaças estão comercializando abertamente o acesso a sites hackeados, com foco especial nas credenciais comprometidas do cPanel. O cPanel, um painel de controle amplamente utilizado para hospedagem de sites, permite que atacantes realizem uma série de atividades maliciosas, como implantar backdoors, criar novos usuários administrativos e disseminar campanhas de phishing. A pesquisa da Flare analisou mais de 200 mil postagens em grupos fraudulentos ao longo de uma semana, revelando um ecossistema estruturado que opera em larga escala. Os atacantes frequentemente obtêm acesso por meio de credenciais roubadas ou explorando vulnerabilidades em aplicações web. A venda de cPanels comprometidos é altamente commoditizada, com preços variando conforme a qualidade e a reputação da infraestrutura. A falta de autenticação multifatorial e senhas fracas são fatores que contribuem para a vulnerabilidade. Para mitigar esses riscos, as organizações devem implementar medidas de segurança robustas, como autenticação multifatorial e monitoramento contínuo de atividades suspeitas.

A Microsoft alertou sobre novas campanhas de phishing que utilizam e-mails maliciosos e mecanismos de redirecionamento de URLs OAuth para contornar defesas tradicionais de segurança em e-mails e navegadores. Essas campanhas visam organizações governamentais e do setor público, redirecionando as vítimas para infraestruturas controladas pelos atacantes sem a necessidade de roubar tokens de autenticação. Os ataques se aproveitam do comportamento padrão do OAuth, permitindo que os invasores criem URLs que parecem benignas, mas que levam a páginas maliciosas.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova suíte de phishing chamada Starkiller, que utiliza páginas de login legítimas para contornar as proteções de autenticação multifator (MFA). O grupo de ameaças Jinkusu promove essa plataforma como um serviço de cibercrime, permitindo que usuários escolham marcas para imitar ou insiram URLs reais. A técnica de proxy de páginas de login permite que os atacantes atualizem suas páginas de phishing em tempo real, sem a necessidade de modificar templates. Isso é feito através de uma instância do Chrome sem interface gráfica, que atua como um proxy reverso entre o usuário e o site legítimo, capturando todas as entradas do usuário. Além disso, a evolução de kits de phishing, como o 1Phish, mostra um aumento na sofisticação das ameaças, com a capacidade de capturar códigos de autenticação de um único uso (OTPs) e implementar lógica de impressão digital do navegador para filtrar bots. As campanhas de phishing estão se tornando mais complexas, com ataques direcionados a empresas e instituições financeiras, utilizando técnicas avançadas para evitar a detecção. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que dependem de MFA para proteger suas contas.

O grupo de cibercriminosos conhecido como SloppyLemming está por trás de uma nova onda de ataques direcionados a entidades governamentais e operadores de infraestrutura crítica em países como Paquistão e Bangladesh, conforme relatado pela Arctic Wolf. As atividades ocorreram entre janeiro de 2025 e janeiro de 2026 e envolveram duas cadeias de ataque distintas que utilizam malwares conhecidos como BurrowShell e um keylogger baseado em Rust. A utilização da linguagem de programação Rust representa uma evolução nas ferramentas do grupo, que anteriormente utilizava apenas linguagens compiladas tradicionais e frameworks de simulação de adversários. Os ataques foram iniciados por meio de e-mails de spear-phishing que continham iscas em PDF e documentos do Excel com macros maliciosas. O BurrowShell, um backdoor completo, permite ao atacante manipular o sistema de arquivos, capturar telas e executar comandos remotamente, disfarçando seu tráfego de comando e controle como comunicações do serviço de atualização do Windows. A análise também revelou um aumento significativo na infraestrutura do grupo, com 112 domínios do Cloudflare Workers registrados em um ano, indicando uma escalada em suas operações. O foco em entidades críticas, como órgãos reguladores nucleares e instituições financeiras, sugere um alinhamento com prioridades de coleta de inteligência na competição estratégica regional.

Uma nova campanha de phishing está utilizando uma página falsa de segurança de conta do Google para distribuir um aplicativo web malicioso. Este aplicativo, que se aproveita de recursos de Progressive Web App (PWA), é capaz de roubar códigos de verificação de uso único (OTP), coletar endereços de carteiras de criptomoedas e redirecionar o tráfego do atacante através dos navegadores das vítimas. Os criminosos cibernéticos utilizam o domínio google-prism[.]com, que simula um serviço legítimo do Google, e enganam os usuários a conceder permissões arriscadas sob a falsa promessa de aumentar a segurança de seus dispositivos. O aplicativo malicioso pode exfiltrar dados de contatos, informações de localização em tempo real e conteúdos da área de transferência. Além disso, ele atua como um proxy de rede, permitindo que os atacantes realizem requisições através do navegador da vítima. A campanha também inclui um APK para Android que promete proteção adicional, mas que na verdade compromete ainda mais a segurança do dispositivo. Especialistas alertam que o Google não realiza verificações de segurança através de pop-ups e que todas as ferramentas de segurança estão disponíveis no site oficial da conta do Google. A remoção do aplicativo malicioso é recomendada, e os usuários devem estar atentos a sinais de comprometimento.

Especialistas da Varonis descobriram uma plataforma criminosa chamada ‘1Campaign’, que tem operado nos últimos três anos, permitindo que hackers realizem fraudes com o Google Ads. A plataforma é descrita como um ‘disfarce’, pois permite que os criminosos exibam conteúdos diferentes para visitantes e provedores de anúncios. Enquanto as vítimas veem materiais de phishing, os anunciantes legítimos visualizam apenas uma página em branco, o que dificulta a detecção das fraudes.

Além da camuflagem, o 1Campaign oferece ferramentas como análises em tempo real, criação de perfis de visitantes e bloqueio de tráfego de fornecedores. Os hackers podem direcionar anúncios com base no endereço IP e atribuir uma pontuação de fraude aos visitantes, variando de 0 a 100. A plataforma permite que campanhas fraudulentas sejam veiculadas por longos períodos, com maior incidência de anúncios maliciosos em países como EUA, Holanda, Canadá e Japão.

A ManoMano, uma popular plataforma de e-commerce focada em DIY e jardinagem, sofreu um vazamento de dados que comprometeu informações sensíveis de aproximadamente 38 milhões de clientes. O incidente ocorreu em janeiro de 2026, quando um ator de ameaças identificado como ‘Indra’ acessou um serviço de suporte ao cliente da Zendesk, de um fornecedor terceirizado, e extraiu dados como nomes completos, endereços de e-mail, números de telefone e comunicações de suporte. A empresa confirmou que nenhuma senha de conta foi acessada e que os dados em seus servidores não foram alterados. Após a descoberta do ataque, a ManoMano desativou o acesso do subcontratado, notificou as autoridades competentes e alertou os clientes sobre riscos de phishing. A empresa opera em seis países europeus e recebe cerca de 50 milhões de visitantes únicos por mês, o que torna o incidente ainda mais preocupante, dada a quantidade de dados expostos e o potencial impacto na conformidade com a LGPD.

Uma nova campanha de cibercrime está ameaçando a segurança dos brasileiros, conforme relatado pela empresa de segurança ZenoX. Hackers estão explorando domínios do Gov.br para roubar dados bancários, utilizando duas táticas principais: comprometer sites legítimos do governo e criar URLs falsas que imitam portais oficiais. No primeiro caso, um site do governo do estado de Goiás foi encontrado com um malware escondido, que passa despercebido por antivírus devido à sua origem em um domínio considerado seguro. No segundo caso, hackers criam links falsos que se parecem com portais governamentais, levando as vítimas a baixar um software malicioso disfarçado de um aplicativo comum. Após a instalação, o infostealer permite que os criminosos monitorem atividades online, capturem credenciais e acessem informações sensíveis. A recomendação para os usuários é evitar clicar em links desconhecidos e acessar portais governamentais apenas por meio de aplicativos oficiais ou URLs verificadas. A situação ainda está em investigação, e não há informações sobre a extensão da operação criminosa.

A cadeia de lojas de DIY ManoMano anunciou que sofreu uma violação de dados, resultante do comprometimento de um fornecedor de serviços terceirizado. A empresa confirmou que, em janeiro de 2026, identificou acessos não autorizados relacionados a esse prestador, afetando cerca de 38 milhões de clientes. Os dados expostos incluem endereços de e-mail, números de telefone e comunicações de atendimento ao cliente, mas a empresa assegura que senhas de contas não foram acessadas. O ataque foi reivindicado por um hacker conhecido como ‘Indra’, que alegou ter detalhes sobre 37,8 milhões de contas de usuários. A ManoMano tomou medidas imediatas para mitigar o problema, como revogar o acesso do prestador e notificar as autoridades competentes. A investigação ainda está em andamento, e a empresa orientou os clientes a permanecerem vigilantes contra tentativas de phishing. Este incidente destaca a vulnerabilidade das empresas que dependem de serviços terceirizados para a gestão de dados sensíveis.

Recentemente, diversas ameaças cibernéticas têm se intensificado, muitas vezes iniciando com interações comuns como anúncios ou convites de reuniões. Um destaque é a integração do assistente de IA Claude ao Kali Linux, que permite a execução de comandos em linguagem natural, facilitando o trabalho de hackers éticos. Além disso, o spyware ResidentBat, vinculado a autoridades bielorrussas, tem sido utilizado para monitorar jornalistas e a sociedade civil, acessando dados sensíveis como registros de chamadas e mensagens. Campanhas de phishing também estão em alta, com criminosos se passando por serviços de corretagem de criptomoedas, como a Bitpanda, para roubar informações pessoais. O relatório da CrowdStrike de 2026 revela que o tempo médio para um ataque cibernético se expandir de um acesso inicial para um movimento lateral caiu para 29 minutos, um aumento de 65% em relação ao ano anterior. Isso é impulsionado pelo uso de credenciais legítimas e pela adoção de tecnologias de IA por atacantes. Outro ponto crítico é a exploração de falhas em servidores Apache ActiveMQ, que têm sido utilizadas para implantar ransomware LockBit. Esses dados ressaltam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

Um novo grupo de atividades maliciosas, identificado como UAT-10027, está atacando os setores de educação e saúde nos Estados Unidos desde dezembro de 2025. A campanha, monitorada pela Cisco Talos, visa implantar um backdoor inédito chamado Dohdoor, que utiliza a técnica DNS-over-HTTPS (DoH) para comunicação de comando e controle. Os pesquisadores de segurança Alex Karkins e Chetan Raghuprasad relataram que a campanha pode ter iniciado através de técnicas de phishing, levando à execução de um script PowerShell que baixa um script em lote do Windows. Este script, por sua vez, baixa uma biblioteca dinâmica maliciosa (DLL) chamada “propsys.dll” ou “batmeter.dll”. O Dohdoor é ativado por executáveis legítimos do Windows, utilizando a técnica de DLL side-loading, permitindo que o acesso backdoor seja utilizado para baixar e executar cargas adicionais diretamente na memória da vítima. A comunicação do malware é disfarçada como tráfego HTTPS legítimo, dificultando a detecção por sistemas de segurança tradicionais. Embora não se saiba quem está por trás do UAT-10027, há semelhanças táticas com o grupo Lazarus, conhecido por suas atividades de hacking, especialmente em setores como criptomoedas e defesa. No entanto, o foco atual em educação e saúde destaca uma nova abordagem que pode ter implicações significativas para a segurança cibernética.

Os ataques de phishing estão se tornando cada vez mais sofisticados e personalizados, dificultando sua detecção, até mesmo por especialistas. A personalização dos golpes é realizada por criminosos que utilizam informações pessoais das vítimas, obtidas através de vazamentos de dados, redes sociais e registros legítimos. Essa nova abordagem permite que os hackers criem mensagens que parecem legítimas, aumentando as chances de enganar as vítimas. Os ataques podem variar desde cobranças falsas de pedágio, que utilizam nomes de sistemas locais, até fraudes mais elaboradas que analisam o comportamento online da vítima para direcionar anúncios fraudulentos. Além disso, golpes românticos, que visam criar uma relação de confiança antes de atacar, também estão em ascensão. Para se proteger, especialistas recomendam o uso de antivírus, gerenciadores de senhas e cautela ao clicar em links suspeitos. A crescente utilização de ferramentas de inteligência artificial para automatizar esses ataques representa um desafio significativo para a segurança cibernética, exigindo atenção redobrada de usuários e profissionais da área.

O grupo de ameaças motivadas financeiramente conhecido como “Diesel Vortex” está realizando ataques de phishing para roubar credenciais de operadores de frete e logística nos EUA e na Europa, utilizando 52 domínios. Desde setembro de 2025, a campanha já resultou no roubo de 1.649 credenciais únicas de plataformas essenciais para a indústria de frete, como DAT Truckstop e Penske Logistics. A análise da plataforma Have I Been Squatted revelou que o grupo opera com uma infraestrutura de phishing dedicada, focando em plataformas de alta transação que não são prioritárias em programas de segurança empresarial. Os ataques envolvem o envio de e-mails de phishing utilizando técnicas como homoglifos cirílicos para evitar filtros de segurança e a criação de páginas de phishing que imitam perfeitamente os sites legítimos. As operações do Diesel Vortex foram parcialmente interrompidas após uma ação coordenada entre várias empresas de segurança cibernética. A pesquisa também indicou conexões com indivíduos e empresas na Rússia, sugerindo uma rede de crime organizado mais ampla. Este incidente destaca a vulnerabilidade do setor de logística e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

O Brasil se destacou em um relatório da Acronis, publicado em fevereiro de 2026, como um dos três países com maior incidência de ataques de ransomware globalmente, atrás apenas dos Estados Unidos e da Índia. O estudo revelou que mais de 7.600 vítimas foram registradas no país, com setores como manufatura, tecnologia e saúde sendo os mais afetados. Os hackers têm utilizado ferramentas legítimas da Microsoft e softwares de acesso remoto, como AnyDesk e TeamViewer, para realizar os ataques. Além disso, 52% dos incidentes foram iniciados por e-mails fraudulentos, evidenciando a crescente utilização de engenharia social para roubar informações sensíveis. O uso de inteligência artificial pelos cibercriminosos também foi destacado, permitindo uma negociação mais eficiente dos resgates. O aumento de 16% no volume médio de incidentes por organização em comparação ao ano anterior ressalta a urgência da situação, exigindo atenção redobrada das empresas brasileiras em relação à segurança cibernética.

Um novo serviço de cibercrime chamado 1Campaign está permitindo que criminosos cibernéticos executem anúncios maliciosos no Google que permanecem online por longos períodos, evitando a detecção de pesquisadores de segurança. O 1Campaign é um serviço de camuflagem que passa pelo processo de triagem do Google, mostrando conteúdo malicioso apenas para vítimas reais, enquanto pesquisadores e scanners automáticos são redirecionados para páginas inofensivas. A operação, que está ativa há pelo menos três anos, é gerida por um desenvolvedor conhecido como ‘DuppyMeister’. O sistema filtra visitantes em tempo real, direcionando o tráfego para páginas de destino com base em critérios como geografia e características do dispositivo. Em um caso, 99,4% dos visitantes foram bloqueados, resultando em uma taxa de sucesso de apenas 0,6%. O 1Campaign também oferece uma ferramenta para lançar campanhas maliciosas e benignas, permitindo que os operadores contornem as limitações das políticas do Google. Apesar das várias salvaguardas implementadas pelo Google, a plataforma ainda é utilizada para promover fraudes e malware, destacando a necessidade de vigilância contínua e práticas de segurança rigorosas.

Um ator de ameaça alinhado à Rússia foi identificado atacando uma instituição financeira europeia, utilizando engenharia social para potencialmente coletar informações ou realizar roubo financeiro. O ataque, atribuído ao grupo de cibercrime UAC-0050 (também conhecido como DaVinci Group), foi descrito como uma tentativa de expandir o foco das operações além da Ucrânia, atingindo entidades que apoiam o país em guerra.

O ataque começou com um e-mail de spear-phishing que simulava um domínio judicial ucraniano, levando o destinatário a baixar um arquivo malicioso. Este arquivo ZIP continha um arquivo RAR protegido por senha, que, por sua vez, continha um executável disfarçado de documento PDF. A execução do arquivo resultou na instalação de um software de acesso remoto, o Remote Manipulator System (RMS), que permite controle remoto e compartilhamento de arquivos.

Uma nova campanha de phishing está explorando uma vulnerabilidade do Excel para disseminar um trojan de acesso remoto (RAT) conhecido como ‘XWorm 7.2’. O malware é disfarçado como um arquivo JPEG, que na verdade contém um código malicioso. Ao abrir um arquivo Excel enviado por e-mail, a vítima é levada a executar um script que instala o malware, permitindo que os hackers tenham controle total sobre a máquina. Essa técnica utiliza engenharia social, com mensagens que parecem legítimas, solicitando pagamentos ou documentos que não existem. O XWorm 7.2, que já existe desde 2022, teve sua versão mais recente identificada em lojas do Telegram, mostrando uma evolução em sua sofisticação. O malware é capaz de roubar senhas, chaves de Wi-Fi e até mesmo coletar cookies do navegador. Além disso, ele pode espionar a vítima através da webcam e lançar ataques de negação de serviço (DDoS). A complexidade do XWorm 7.2 torna sua remoção extremamente difícil, pois ele se oculta em processos legítimos do Windows, dificultando a detecção por antivírus.

O grupo de ciberameaças conhecido como UnsolicitedBooker tem direcionado suas atividades para empresas de telecomunicações no Quirguistão e no Tajiquistão, após uma série de ataques anteriores a entidades na Arábia Saudita. Os ataques utilizam duas backdoors distintas, chamadas LuciDoor e MarsSnake, conforme relatado pela Positive Technologies. A UnsolicitedBooker, que foi documentada pela primeira vez pela ESET em maio de 2025, é considerada ativa desde março de 2023 e tem um histórico de ataques a organizações na Ásia, África e Oriente Médio. Recentemente, os ataques foram realizados através de e-mails de phishing que continham documentos do Microsoft Office, que, ao serem abertos, solicitavam que os usuários ‘ativassem o conteúdo’ para executar macros maliciosas. Essas macros implantavam um carregador de malware chamado LuciLoad, que, por sua vez, instalava a backdoor LuciDoor. Em um ataque posterior, o grupo utilizou um carregador diferente, o MarsSnakeLoader, para implantar a backdoor MarsSnake. A Positive Technologies também observou que o MarsSnake foi utilizado em ataques direcionados à China. O uso de ferramentas raras de origem chinesa e a possibilidade de um roteador hackeado servir como servidor de comando e controle destacam a sofisticação das operações do grupo.

A empresa de tecnologia de anúncios Optimizely, com sede em Nova York, notificou um número não revelado de clientes sobre uma violação de dados resultante de um ataque de phishing por voz. Os atacantes conseguiram acessar alguns sistemas da empresa em 11 de fevereiro, embora a Optimizely tenha afirmado que não houve acesso a dados sensíveis ou informações pessoais, apenas a ‘informações básicas de contato comercial’. A empresa alertou os clientes sobre a possibilidade de novos ataques de phishing utilizando os dados roubados, que poderiam ocorrer por meio de chamadas, mensagens de texto ou e-mails. O ataque foi atribuído a um grupo que utiliza táticas de engenharia social sofisticadas, possivelmente vinculado à operação de extorsão ShinyHunters, que já comprometeu outras empresas de renome. Embora a Optimizely tenha afirmado que suas operações comerciais continuam sem interrupções, a situação destaca a necessidade de vigilância contínua contra ataques de phishing, especialmente em um cenário onde as credenciais de acesso podem ser facilmente manipuladas por criminosos. Os clientes devem estar atentos a tentativas de phishing que possam surgir a partir das informações obtidas durante a violação.

O grupo de hackers iraniano MuddyWater, também conhecido como Earth Vetala, iniciou uma nova campanha chamada Operação Olalampo, visando organizações e indivíduos na região do Oriente Médio e Norte da África (MENA). Desde 26 de janeiro de 2026, a campanha tem utilizado novas famílias de malware, como o downloader GhostFetch e o backdoor CHAR, além de um implante avançado chamado GhostBackDoor. Os ataques geralmente começam com e-mails de phishing que contêm documentos do Microsoft Office com macros maliciosas, permitindo que os atacantes assumam o controle remoto dos sistemas.

O typosquatting é uma técnica utilizada por cibercriminosos que consiste em registrar domínios fraudulentos que se assemelham a sites legítimos, aproveitando-se de erros de digitação ou confusões comuns entre usuários. Um exemplo recente é o caso do programa 7-Zip, onde um site falso com domínio .com foi criado para enganar os usuários, que normalmente buscam pelo site original .org. Os golpistas utilizam anúncios pagos, conhecidos como malvertising, para garantir que seus sites apareçam no topo dos resultados de busca do Google, frequentemente com a tag ‘Patrocinado’, o que aumenta a probabilidade de cliques. Essa prática é facilitada pela falta de atenção dos usuários, que podem não perceber a diferença entre os domínios. Para se proteger, é essencial que os internautas verifiquem cuidadosamente a barra de endereços antes de clicar em links, evitem resultados patrocinados e utilizem fontes confiáveis, como a Wikipédia, para confirmar a autenticidade dos sites. A desconfiança e a atenção são as melhores defesas contra esses golpes, que podem resultar em perda de dados pessoais e financeiros.

O RedVDS é um mercado clandestino de assinatura que opera no universo do cibercrime, permitindo que hackers adquiram ferramentas para realizar ataques digitais. Com uma taxa de assinatura de US$ 24 por mês, a plataforma oferece acesso a recursos como computadores descartáveis, softwares não licenciados e ferramentas de phishing automatizadas. Recentemente, a Microsoft desmantelou o RedVDS, que causou prejuízos estimados em US$ 40 milhões, afetando empresas de diversos setores, incluindo saúde, educação e imobiliário. Os ataques mais comuns incluem fraudes por desvio de pagamento e comprometimento de e-mails corporativos, com mais de 9 mil vítimas identificadas. A plataforma também utilizava inteligência artificial para otimizar suas operações criminosas, tornando os golpes mais sofisticados e difíceis de detectar. Para se proteger, é essencial que usuários e empresas adotem medidas como a autenticação multifator, verificação de mensagens suspeitas e atualização constante de softwares.

Recentemente, grupos de ameaças têm direcionado ataques a organizações de tecnologia, manufatura e finanças, utilizando uma combinação de phishing por código de dispositivo e vishing para comprometer contas do Microsoft Entra. Ao contrário de ataques anteriores que usavam aplicativos OAuth maliciosos, essas campanhas aproveitam IDs de cliente OAuth legítimos e o fluxo de autorização de dispositivo para enganar as vítimas a autenticarem-se. Isso permite que os atacantes obtenham tokens de autenticação válidos, acessando contas sem depender de sites de phishing tradicionais que roubam senhas ou interceptam códigos de autenticação multifator. O grupo ShinyHunters, conhecido por extorsões, foi associado a esses novos ataques. Os atacantes utilizam engenharia social para convencer os funcionários a inserir códigos gerados em páginas de autenticação da Microsoft, o que resulta em acesso não autorizado a serviços corporativos, como Microsoft 365 e Salesforce. Especialistas recomendam que as organizações bloqueiem domínios maliciosos, auditem consentimentos de aplicativos OAuth e revisem logs de autenticação. A situação é preocupante, pois o fluxo de autenticação foi projetado para facilitar a conexão de dispositivos com opções de entrada limitadas, tornando-o vulnerável a abusos.

Matthew Abiodun Akande, um cidadão nigeriano de 37 anos, foi condenado a oito anos de prisão por hackear várias empresas de preparação de impostos em Massachusetts e apresentar declarações fiscais fraudulentas que buscavam mais de US$ 8,1 milhões em reembolsos. Akande foi preso em outubro de 2024 no Aeroporto de Heathrow, em Londres, e extraditado para os Estados Unidos em março de 2025. Ele foi indiciado em julho de 2022, enquanto residia no México.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan para Android chamado Massiv, que facilita ataques de tomada de controle de dispositivos (DTO) visando o roubo financeiro. O malware se disfarça como aplicativos IPTV inofensivos, atraindo usuários em busca de serviços de TV online. Segundo a ThreatFabric, o Massiv permite que os operadores controlem remotamente dispositivos infectados, realizando transações fraudulentas nas contas bancárias das vítimas.

Entre suas funcionalidades, o Massiv utiliza técnicas como streaming de tela, keylogging e sobreposições falsas em aplicativos financeiros, solicitando que os usuários insiram suas credenciais. Um dos alvos identificados foi o aplicativo gov.pt, que gerencia documentos de identificação em Portugal. Os criminosos têm usado as informações capturadas para abrir contas bancárias em nome das vítimas, facilitando atividades como lavagem de dinheiro.

O Google identificou que um grupo hacker da Coreia do Norte, denominado UNC2970, está utilizando a ferramenta de inteligência artificial Gemini para realizar ciberataques, especialmente focados em campanhas de phishing relacionadas a ofertas de emprego falsas. A equipe de inteligência de ameaças do Google relatou que os hackers estão empregando a IA para traçar perfis de potenciais vítimas, coletando dados sensíveis através da técnica de OSINT (Open Source Intelligence). O grupo tem como alvo principal empresas de cibersegurança, onde mapeiam funções técnicas e informações salariais para criar campanhas de phishing personalizadas. Embora os detalhes dos ataques não tenham sido amplamente divulgados, a utilização de ferramentas de IA por hackers levanta preocupações sobre a segurança cibernética em escala global. O Google alerta que, embora os usuários das ferramentas de IA não sejam diretamente impactados, a forma como essas tecnologias podem ser exploradas para fins maliciosos é alarmante. O UNC2970 tem se mostrado cada vez mais ativo, enganando sistemas e se passando por recrutadores em busca de profissionais para vagas que não existem.

A Figure Technology Solutions, uma empresa de tecnologia financeira baseada em blockchain, sofreu uma violação de dados que resultou no roubo de informações pessoais de aproximadamente 1 milhão de contas. O incidente, que não foi divulgado publicamente pela empresa, foi confirmado por um porta-voz em uma declaração ao TechCrunch, que mencionou que os atacantes obtiveram acesso a um número limitado de arquivos por meio de um ataque de engenharia social. A plataforma de empréstimos fintech teve dados de 967.200 contas expostos, incluindo endereços de e-mail, nomes, números de telefone, endereços físicos e datas de nascimento. O grupo de extorsão ShinyHunters assumiu a responsabilidade pelo ataque, publicando 2,5 GB de dados supostamente roubados de candidatos a empréstimos. O ataque se insere em uma série de violações recentes que afetaram outras empresas de destaque, como Canada Goose e Match Group, muitas das quais foram alvo de campanhas de phishing por voz (vishing) que visavam contas de login de acesso único (SSO). A situação destaca a crescente ameaça de ataques de engenharia social e a importância de medidas de segurança robustas para proteger dados sensíveis.

A Microsoft relatou um incidente em seu serviço Exchange Online, onde e-mails legítimos foram incorretamente colocados em quarentena devido a falhas nas regras de detecção heurística, que visavam bloquear campanhas de phishing. O problema, que começou em 5 de fevereiro e foi resolvido em 12 de fevereiro, afetou milhares de usuários, impedindo a abertura de links em mensagens e resultando em alertas de URLs potencialmente maliciosos que se mostraram falsos positivos. A causa raiz foi identificada como um erro lógico no sistema de detecção, que, após uma atualização, começou a sinalizar URLs legítimos em uma taxa muito maior do que o esperado. Além disso, outros sistemas de segurança da Microsoft amplificaram o impacto do incidente, e um bug separado atrasou a reversão das regras de detecção falhas. A empresa ainda não divulgou o número total de usuários afetados, mas classificou o evento como um “incidente”, indicando um impacto significativo. Um relatório final será publicado em até cinco dias úteis após a resolução completa do problema.

Recentemente, especialistas em cibersegurança alertaram sobre uma nova tática de phishing que utiliza cartas físicas para enganar proprietários de carteiras de criptomoedas. Em vez de e-mails maliciosos, os hackers estão enviando correspondências que parecem vir de equipes de segurança de marcas de carteiras de hardware, como Trezor e Ledger. Essas cartas contêm QR codes que direcionam os usuários a sites fraudulentos que imitam páginas oficiais. Os destinatários são instruídos a escanear os códigos para realizar uma ‘verificação de autenticação’ sob a ameaça de perder acesso às suas carteiras. Uma vez que os usuários inserem suas frases de recuperação, os atacantes podem acessar e transferir os fundos sem mais interações. Embora a seleção dos alvos ainda não esteja clara, dados de violações anteriores podem ter exposto informações de contato, incluindo endereços físicos. Os fabricantes de carteiras alertam que essas frases devem ser inseridas apenas em dispositivos físicos e nunca em sites. A mudança para o uso de correspondência física representa uma adaptação dos atacantes a um cenário digital saturado, mas a técnica de phishing permanece a mesma.

Pesquisadores em cibersegurança revelaram que assistentes de inteligência artificial (IA) com capacidades de navegação na web podem ser utilizados como relés de comando e controle (C2) por atacantes. Essa técnica, chamada de ‘IA como proxy C2’, foi demonstrada em ferramentas como Microsoft Copilot e xAI Grok. O método permite que os atacantes se misturem a comunicações empresariais legítimas, dificultando a detecção. Ao explorar o acesso anônimo à web e prompts de navegação, os atacantes podem gerar fluxos de trabalho de reconhecimento, automatizar ações e decidir dinamicamente os próximos passos durante uma intrusão. O uso de IA como proxy C2 transforma assistentes em canais de comunicação bidirecionais, permitindo que comandos sejam emitidos e dados da vítima sejam extraídos sem a necessidade de chaves de API ou contas registradas. Essa abordagem se assemelha a campanhas de ataque que utilizam serviços confiáveis para distribuição de malware. Para que essa técnica funcione, o invasor deve ter previamente comprometido uma máquina e instalado malware que utilize o assistente de IA como canal de C2. A evolução dessa técnica representa um risco significativo, pois pode automatizar decisões operacionais em tempo real, aumentando a eficácia dos ataques.

A Tenga, fabricante japonesa de produtos de bem-estar sexual, foi alvo de um ataque cibernético que resultou no roubo de dados de clientes. Segundo informações, um funcionário da empresa foi vítima de um golpe de phishing, o que permitiu ao invasor acessar a caixa de entrada do e-mail e extrair informações sensíveis, como nomes, endereços de e-mail e detalhes de pedidos. O ataque não apenas comprometeu dados pessoais, mas também possibilitou o envio de mensagens de spam a funcionários e clientes. Em resposta ao incidente, a Tenga redefiniu as credenciais de acesso e implementou a autenticação multifator (MFA) em seus sistemas, embora não esteja claro se essa medida já estava em vigor antes do ataque. A empresa alertou seus clientes para que atualizassem suas senhas e permanecessem atentos a e-mails suspeitos. O impacto potencial desse tipo de violação pode incluir fraudes financeiras e roubo de identidade, tornando a situação crítica para os afetados.

Nesta semana, o cenário de cibersegurança revela que pequenas falhas estão se transformando em grandes pontos de entrada para atacantes. Um exemplo alarmante é o caso do complemento AgreeTo para Outlook, que foi sequestrado e transformado em um kit de phishing, resultando no roubo de mais de 4.000 credenciais de contas Microsoft. Essa situação ilustra como ativos negligenciados podem se tornar vetores de ataque. Além disso, a Google lançou atualizações de segurança para o Chrome, corrigindo uma vulnerabilidade crítica (CVE-2026-2441) que estava sendo explorada ativamente. Outra vulnerabilidade crítica, CVE-2026-1731, foi identificada nos produtos da BeyondTrust e já está sendo explorada, permitindo execução remota de código. A Apple também lançou correções para uma falha zero-day em seus sistemas operacionais. Por fim, o grupo TeamPCP está explorando ambientes de nuvem mal configurados para expandir suas operações criminosas, enquanto hackers patrocinados por estados estão utilizando inteligência artificial em várias etapas do ciclo de ataque, aumentando a eficiência de suas operações. Esses incidentes destacam a necessidade urgente de vigilância e atualização constante das defesas cibernéticas.

A recente campanha de cibersegurança identificada por BleepingComputer revela que atores de ameaças estão explorando comentários no Pastebin para disseminar um ataque do tipo ClickFix, que engana usuários de criptomoedas a executar JavaScript malicioso em seus navegadores. Esse ataque permite que os invasores sequestram transações de troca de Bitcoin, redirecionando fundos para carteiras controladas por eles. A campanha utiliza engenharia social, prometendo lucros substanciais através de um suposto exploit na plataforma Swapzone.io. Os comentários no Pastebin contêm links que direcionam para um documento do Google Docs, que supostamente ensina uma técnica de arbitragem para maximizar lucros. Os usuários são instruídos a executar um código JavaScript diretamente na barra de endereços do navegador, o que altera a funcionalidade da página e permite que os atacantes manipulem o processo de troca. A análise do script malicioso revela que ele injeta endereços de Bitcoin controlados pelos atacantes, fazendo com que os usuários enviem seus fundos para essas carteiras. Como as transações de Bitcoin não podem ser revertidas, os usuários que caírem nesse golpe não terão como recuperar seu dinheiro. Este ataque representa uma nova variante do ClickFix, que normalmente visa sistemas operacionais, mas agora se concentra em manipulações dentro do navegador.

Recentemente, criminosos têm enviado cartas físicas que se passam por comunicações oficiais das empresas Trezor e Ledger, fabricantes de carteiras de hardware para criptomoedas. Essas cartas fraudulentas alertam os usuários sobre a necessidade de completar um ‘Check de Autenticação’ ou ‘Check de Transação’ para evitar a perda de acesso às funcionalidades de suas carteiras. Ao criar um senso de urgência, os golpistas pressionam as vítimas a escanear QR codes que direcionam para sites maliciosos. As cartas, impressas em papel timbrado, têm como alvo usuários que podem ter tido suas informações expostas em vazamentos de dados anteriores. Os sites de phishing imitam páginas legítimas e solicitam que os usuários insiram suas frases de recuperação, permitindo que os atacantes acessem e roubem os fundos das carteiras. É importante ressaltar que tanto a Trezor quanto a Ledger nunca solicitarão que os usuários compartilhem suas frases de recuperação. Este tipo de golpe, embora raro, representa uma ameaça significativa, especialmente considerando o aumento do uso de criptomoedas no Brasil.

Uma nova campanha de phishing está em circulação no Brasil, utilizando a identidade visual de empresas conhecidas, como a Shopee e a Latam, para enganar usuários e roubar seus dados pessoais, especialmente o CPF. Segundo a ESET, os golpistas criam anúncios falsos em redes sociais e aplicativos de mensagens, oferecendo cartões de crédito com limites altos e isenção de anuidade, atraindo vítimas desavisadas. Ao clicar nos links, os usuários são direcionados para sites fraudulentos que imitam os processos legítimos das empresas.

A Coreia do Sul multou as marcas de moda de luxo Louis Vuitton, Christian Dior Couture e Tiffany em US$ 25 milhões por não implementarem medidas de segurança adequadas, resultando em acesso não autorizado e exposição de dados de mais de 5,5 milhões de clientes. As três marcas, parte do grupo LVMH, sofreram vazamentos de dados após hackers acessarem seu serviço de gerenciamento de clientes baseado em nuvem. O caso da Louis Vuitton envolveu um dispositivo de um funcionário infectado por malware, comprometendo dados de 3,6 milhões de clientes. A Dior foi alvo de um ataque de phishing, onde um funcionário foi enganado a conceder acesso ao sistema, expondo dados de 1,95 milhão de clientes. A Tiffany também enfrentou um ataque semelhante, mas com um impacto menor, afetando 4.600 clientes. A Comissão de Proteção de Informações Pessoais da Coreia do Sul (PIPC) destacou que as soluções SaaS não isentam as empresas de sua responsabilidade na gestão segura dos dados dos clientes. As multas foram de US$ 16,4 milhões para a Louis Vuitton, US$ 9,4 milhões para a Dior e US$ 1,85 milhão para a Tiffany.

Um novo ator de ameaças, ainda não documentado, foi identificado em ataques direcionados a organizações ucranianas, utilizando um malware chamado CANFAIL. O Google Threat Intelligence Group (GTIG) sugere que esse grupo pode estar associado a serviços de inteligência russos e tem como alvos principais instituições de defesa, governo e energia na Ucrânia. Recentemente, o grupo ampliou seu foco para incluir organizações de aeroespacial, manufatura militar, e até mesmo empresas de pesquisa nuclear e química.

Uma nova campanha de ransomware, identificada pelos especialistas da Forcepoint X-Labs, está causando preocupação global ao sequestrar computadores sem a necessidade de conexão com a internet. O ataque utiliza táticas de phishing, enviando e-mails com anexos que parecem legítimos, mas que na verdade são atalhos do Windows. Quando o usuário clica no arquivo, comandos maliciosos são executados em segundo plano, permitindo que o malware se infiltre no sistema. O ransomware, associado ao grupo Global Group, gera uma chave de criptografia local, bloqueando arquivos e dificultando a recuperação dos dados. O ataque é descrito como ‘silencioso’, pois não requer comunicação com servidores externos, o que aumenta a complexidade da detecção e mitigação. Além disso, um temporizador embutido no malware apaga os arquivos originais após três segundos, tornando a recuperação ainda mais desafiadora. Essa nova abordagem representa uma evolução nas técnicas de ciberataque, exigindo atenção redobrada de usuários e profissionais de segurança da informação.

A plataforma brasileira Repediu, que atua no setor de delivery de alimentos, sofreu um vazamento significativo de dados, com informações de mais de 21,4 milhões de clientes expostas na dark web. Os hackers divulgaram amostras dos dados em fóruns clandestinos, revelando que informações sensíveis, como nomes completos, e-mails, números de telefone e histórico de compras, foram comprometidas. Além disso, 1,2 milhão de leads e dados de mais de 2.600 funcionários também foram afetados. O vazamento inclui arquivos com informações detalhadas que podem facilitar ataques de phishing, tornando as comunicações fraudulentas mais convincentes. O risco é elevado, pois os cibercriminosos podem usar esses dados para realizar ataques direcionados, como spear-phishing, que visam funcionários da empresa. Esse incidente destaca a vulnerabilidade das plataformas digitais e a necessidade de medidas de segurança robustas para proteger dados sensíveis dos usuários.

Grupos de cibercriminosos estão explorando ferramentas do Gemini para realizar ciberataques sofisticados, conforme revela uma análise do Google. Os hackers, que operam com apoio de governos como os da China, Irã, Coreia do Norte e Rússia, utilizam o Gemini para criar iscas de phishing, traduzir textos, programar e testar vulnerabilidades. Um caso notável envolveu o sequestro do perfil de um especialista em cibersegurança, que foi usado para automatizar análises de vulnerabilidades e desenvolver estratégias de ataque. Além disso, hackers iranianos têm utilizado o Gemini para criar ferramentas maliciosas personalizadas rapidamente. A automação de ataques e a personalização de malware são preocupações crescentes, pois permitem que os criminosos ampliem o alcance de suas campanhas, como as que induzem vítimas a executar comandos maliciosos através de anúncios. Embora o Gemini em si não represente uma ameaça direta, a utilização de suas ferramentas por hackers evidencia a evolução das táticas de cibercrime e a necessidade de vigilância constante por parte de usuários e empresas.

Em dezembro de 2025, o npm implementou uma reforma significativa em seu sistema de autenticação após o incidente Sha1-Hulud, visando reduzir ataques à cadeia de suprimentos. A mudança mais notável foi a revogação de tokens clássicos, que eram longos e permanentes, substituídos por tokens de sessão de curta duração, geralmente válidos por duas horas. Além disso, o npm agora prioriza a autenticação multifator (MFA) para operações sensíveis, como a publicação de pacotes. Apesar dessas melhorias, o npm ainda enfrenta riscos, como ataques de phishing direcionados a credenciais MFA e a possibilidade de desenvolvedores criarem tokens de 90 dias com bypass de MFA. Isso significa que, se um invasor obtiver acesso ao console de um mantenedor, ele pode publicar pacotes maliciosos. Para mitigar esses riscos, o artigo sugere que o uso de OIDC (OpenID Connect) se torne padrão e que a MFA seja obrigatória para uploads de pacotes. Além disso, construir pacotes a partir de código-fonte verificável, como faz a Chainguard, poderia reduzir significativamente a superfície de ataque, já que 98,5% dos pacotes maliciosos não continham malware no código-fonte original. Portanto, embora o npm tenha dado passos importantes, a segurança da cadeia de suprimentos ainda requer atenção contínua.

O Google revelou que o grupo de hackers UNC2970, vinculado à Coreia do Norte, está utilizando seu modelo de inteligência artificial generativa, Gemini, para realizar atividades de reconhecimento em alvos estratégicos. De acordo com o relatório do Google Threat Intelligence Group (GTIG), o grupo tem se concentrado em mapear informações sobre empresas de cibersegurança e defesa, além de perfis de cargos técnicos e dados salariais. Essa prática, que mistura pesquisa profissional com reconhecimento malicioso, permite que o grupo crie personas de phishing personalizadas e identifique alvos vulneráveis para compromissos iniciais.