Segurança Cibernética

A Anthropic, empresa de inteligência artificial, lançou uma nova funcionalidade chamada Claude Code Security, que permite a análise de códigos de software em busca de vulnerabilidades e sugere correções. Atualmente, essa ferramenta está disponível em uma prévia de pesquisa limitada para clientes das categorias Enterprise e Team. Segundo a empresa, a Claude Code Security utiliza inteligência artificial para identificar falhas que métodos tradicionais podem não detectar, oferecendo uma vantagem aos defensores contra ataques automatizados. A funcionalidade vai além da análise estática, raciocinando sobre o código como um pesquisador humano, compreendendo a interação entre componentes e rastreando fluxos de dados. Cada vulnerabilidade identificada passa por um processo de verificação em múltiplas etapas para minimizar falsos positivos e é classificada quanto à severidade, permitindo que as equipes priorizem as correções. Os resultados são apresentados em um painel, onde os analistas podem revisar e aprovar as sugestões. A Anthropic destaca que a decisão final sempre fica a cargo dos desenvolvedores, garantindo um controle humano sobre as ações recomendadas.

Três indivíduos, incluindo duas ex-engenheiras do Google, foram indiciados nos EUA por roubo de segredos comerciais. Samaneh Ghandali, de 41 anos, e sua irmã Soroor Ghandali, de 32 anos, junto com o marido de Samaneh, Mohammad Khosravi, de 40 anos, são acusados de conspirar para roubar informações confidenciais da gigante da tecnologia e transferi-las para locais não autorizados, incluindo o Irã. O Departamento de Justiça dos EUA informou que os réus usaram suas posições em empresas de tecnologia para acessar dados sensíveis, como segredos relacionados à segurança de processadores e criptografia. Eles teriam transferido centenas de arquivos para plataformas de comunicação de terceiros e dispositivos pessoais. Após a detecção das atividades suspeitas, a Google alertou as autoridades e implementou medidas de segurança adicionais. Se condenados, cada um pode enfrentar até 10 anos de prisão por roubo de segredos comerciais e até 20 anos por obstrução da justiça. Este caso destaca a crescente preocupação com ameaças internas e espionagem corporativa no setor de tecnologia.

Um alerta recente da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que várias câmeras de segurança da Honeywell apresentam uma falha crítica de segurança, classificada com um escore de 9.8/10. Essa vulnerabilidade, identificada como CVE-2026-1670, permite que atacantes não autenticados acessem feeds de vídeo e até assumam contas de usuários. A falha é caracterizada pela ‘falta de autenticação para funções críticas’, o que significa que um invasor pode alterar o endereço de e-mail de recuperação e comprometer ainda mais a rede alvo. A lista de modelos afetados inclui câmeras utilizadas em ambientes empresariais de médio porte, que são comuns em operações industriais e de infraestrutura crítica. A CISA recomenda que os proprietários das câmeras apliquem patches de segurança imediatamente e adotem medidas adicionais, como isolar redes de controle e utilizar VPNs seguras para acesso remoto. Embora a falha ainda não tenha sido explorada ativamente, a divulgação pode incentivar cibercriminosos a buscar sistemas vulneráveis. Portanto, a situação exige atenção urgente dos responsáveis pela segurança cibernética.

Os infostealers modernos têm ampliado o roubo de credenciais, coletando não apenas nomes de usuário e senhas, mas também dados de sessão e atividades dos usuários. Um estudo da Specops analisou mais de 90.000 vazamentos de infostealers, totalizando mais de 800 milhões de registros, que incluem credenciais, cookies de navegador e histórico de navegação. Essa coleta de dados permite que atacantes associem informações técnicas a usuários reais, tornando uma única infecção valiosa mesmo após a violação inicial. O maior risco é a facilidade com que os dados roubados conectam múltiplas contas e comportamentos a uma única pessoa, desmoronando a barreira entre identidade pessoal e profissional. A política de senhas da Specops ajuda a mitigar esse risco, bloqueando credenciais já comprometidas. Os dados vazados incluem informações de serviços profissionais como LinkedIn e GitHub, além de plataformas pessoais como Facebook e YouTube, facilitando ataques direcionados. A exposição de credenciais em dispositivos pessoais pode rapidamente escalar para riscos em ambientes corporativos, especialmente devido à reutilização de senhas. Portanto, a implementação de políticas de senhas mais robustas e a conscientização sobre a segurança são essenciais para proteger tanto identidades pessoais quanto corporativas.

Um grupo de hackers suspeito de ser apoiado pelo Estado chinês, conhecido como UNC6201, está explorando uma vulnerabilidade crítica na solução Dell RecoverPoint para Máquinas Virtuais, que é amplamente utilizada para backup e recuperação de máquinas virtuais VMware. A vulnerabilidade, identificada como CVE-2026-22769, envolve credenciais hardcoded que permitem a um atacante remoto não autenticado obter acesso não autorizado ao sistema operacional subjacente. A Dell recomenda que seus clientes atualizem ou apliquem remediações imediatamente. Após comprometer a rede de uma vítima, o grupo UNC6201 implantou diversos malwares, incluindo um novo backdoor chamado Grimbolt, que é mais rápido e mais difícil de analisar do que seu antecessor, Brickstorm. Além disso, os atacantes utilizaram técnicas inovadoras, como a criação de interfaces de rede ocultas, conhecidas como Ghost NICs, para se moverem furtivamente pela infraestrutura virtualizada das vítimas. A pesquisa também sugere que há sobreposições entre UNC6201 e outro grupo de ameaças chinês, UNC5221, que tem um histórico de exploração de vulnerabilidades zero-day. A Dell aconselha seus clientes a seguirem as orientações de remediação para bloquear os ataques em andamento.

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade de alta severidade no Chrome, identificada como CVE-2026-2441, que está sendo explorada em ataques zero-day. Essa falha, relatada pelo pesquisador de segurança Shaheen Fazim, é uma vulnerabilidade do tipo use-after-free, resultante de um erro de invalidação de iterador no CSSFontFeatureValuesMap, que pode causar falhas no navegador, problemas de renderização, corrupção de dados e comportamentos indefinidos. O patch foi considerado urgente, sendo implementado em versões estáveis do Chrome para Windows, macOS e Linux, com a atualização sendo disponibilizada globalmente nos próximos dias. Embora o Google tenha confirmado a exploração ativa dessa vulnerabilidade, não foram divulgados detalhes adicionais sobre os ataques. A empresa também indicou que o problema imediato foi resolvido, mas que ainda há trabalho a ser feito, sugerindo que a solução pode ser temporária. Essa é a primeira vulnerabilidade do Chrome explorada ativamente a ser corrigida em 2026, após um ano em que o Google tratou de oito zero-days, muitos deles relacionados a ataques de spyware contra indivíduos de alto risco.

Recentemente, um grave problema de segurança foi descoberto nos produtos BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA), com a vulnerabilidade CVE-2026-1731 recebendo uma pontuação de 9.9 no CVSS. Essa falha permite que atacantes não autenticados executem comandos no sistema operacional ao enviar requisições especialmente elaboradas. A exploração dessa vulnerabilidade foi observada em tempo real, com os atacantes utilizando a função get_portal_info para extrair informações antes de estabelecer um canal WebSocket. A BeyondTrust já lançou patches para corrigir a falha nas versões mais recentes de seus produtos. Além disso, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou quatro outras vulnerabilidades ao seu catálogo de Exploited Vulnerabilities, incluindo falhas em sistemas da Apple e SolarWinds, que também estão sendo ativamente exploradas. O cenário destaca a rapidez com que as vulnerabilidades podem ser exploradas, exigindo que as organizações implementem correções rapidamente para proteger seus sistemas contra acessos não autorizados e possíveis interrupções de serviço.

Um add-in do Microsoft Outlook, conhecido como AgreeTo, foi sequestrado por hackers para criar um kit de phishing que visa roubar contas de usuários. O AgreeTo, que era um agendador de reuniões desenvolvido por um pesquisador independente e disponível na loja de add-ins do Microsoft Office desde dezembro de 2022, foi abandonado e sua URL foi capturada por um ator malicioso. Quando os usuários abrem o add-in, são direcionados a uma página de login falsa do Microsoft, onde suas credenciais podem ser comprometidas. Pesquisadores da Koi descobriram que mais de 4.000 contas da Microsoft foram roubadas, além de dados de cartões de crédito e respostas de segurança bancária, o que pode facilitar transferências fraudulentas. A Microsoft já removeu o add-in de sua loja e recomenda que os usuários redefinam suas senhas e monitorem suas atividades financeiras. Este incidente marca a primeira vez que um malware foi encontrado no Marketplace oficial da Microsoft, destacando a necessidade de vigilância constante em relação a add-ins e extensões de software.

A BeyondTrust anunciou atualizações para corrigir uma vulnerabilidade crítica em seus produtos de Suporte Remoto (RS) e Acesso Remoto Privilegiado (PRA). Identificada como CVE-2026-1731, a falha permite que um atacante remoto não autenticado execute comandos do sistema operacional, potencialmente resultando em acesso não autorizado, exfiltração de dados e interrupção de serviços. A vulnerabilidade, classificada com uma pontuação de 9.9 no sistema CVSS, afeta as versões do Remote Support até 25.3.1 e do Privileged Remote Access até 24.3.4. A BeyondTrust recomenda que os clientes que não utilizam atualizações automáticas apliquem manualmente o patch disponível nas versões 25.3.2 e 25.1.1 ou superiores. A falha foi descoberta em 31 de janeiro de 2026, e cerca de 11.000 instâncias estão expostas na internet, com aproximadamente 8.500 delas sendo implementações locais. Dada a gravidade da vulnerabilidade e o histórico de exploração ativa em produtos da BeyondTrust, é crucial que os usuários atualizem para as versões mais recentes o quanto antes.

Pesquisadores de segurança cibernética identificaram múltiplas vulnerabilidades críticas na plataforma de automação de workflows n8n, coletivamente rastreadas como CVE-2026-25049. Essas falhas permitem que qualquer usuário autenticado que possa criar ou editar workflows execute código remotamente sem restrições no servidor n8n. O problema está relacionado ao mecanismo de sanitização da plataforma e contorna uma correção anterior para a CVE-2025-68613. A exploração dessa vulnerabilidade pode resultar na completa comprometimento da instância do n8n, permitindo o roubo de credenciais, segredos e arquivos de configuração sensíveis. Além disso, os pesquisadores conseguiram acessar o sistema de arquivos e serviços internos, podendo redirecionar tráfego e modificar respostas em workflows de IA. A n8n é um ambiente multi-tenant, o que significa que a exploração pode afetar dados de outros inquilinos. Embora a n8n tenha lançado uma correção em janeiro de 2026, a vulnerabilidade ainda é uma preocupação, especialmente considerando o aumento da atividade maliciosa em endpoints expostos da plataforma. Os usuários são aconselhados a atualizar para as versões mais recentes e revisar as permissões de criação e edição de workflows.

Pesquisadores de segurança cibernética revelaram detalhes sobre uma nova campanha de malware chamada DEAD#VAX, que utiliza uma combinação de técnicas sofisticadas para contornar mecanismos tradicionais de detecção. O ataque utiliza arquivos de disco virtual (VHD) hospedados na rede descentralizada InterPlanetary Filesystem (IPFS), disfarçados como arquivos PDF, para enganar as vítimas. O malware AsyncRAT, um trojan de acesso remoto, é injetado diretamente em processos confiáveis do Windows, operando totalmente na memória e evitando a criação de artefatos forenses no disco. A campanha é iniciada por meio de um e-mail de phishing que entrega o arquivo VHD. Uma vez montado, um script WSF é executado, que verifica as condições do ambiente antes de liberar o AsyncRAT. Essa abordagem de execução em memória e o uso de scripts ofuscados dificultam a detecção e a resposta a incidentes, tornando a campanha altamente eficaz. Os pesquisadores alertam que a evolução das campanhas de malware, que agora dependem de formatos de arquivo confiáveis e execução residente na memória, representa um desafio significativo para a segurança cibernética.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade do GitLab, identificada como CVE-2021-39935, que está sendo ativamente explorada em ataques. Essa falha, que permite a execução de requisições do lado do servidor (SSRF), foi corrigida pela GitLab em dezembro de 2021, mas ainda afeta versões do software que vão da 10.5 até a 14.5.2. A CISA alertou que usuários não autorizados poderiam acessar a API CI Lint, comprometendo a segurança das configurações de CI/CD. Embora a ordem se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizem a correção de suas vulnerabilidades. Atualmente, mais de 49 mil dispositivos com a impressão digital do GitLab estão expostos online, a maioria na China. A GitLab é amplamente utilizada, com mais de 30 milhões de usuários registrados, incluindo grandes empresas como Nvidia e Goldman Sachs. Além disso, a CISA também destacou uma vulnerabilidade crítica no SolarWinds Web Help Desk, exigindo correções em um prazo de três dias. A situação ressalta a necessidade urgente de ações de segurança cibernética em todos os setores.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha crítica no SolarWinds Web Help Desk (WHD) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), classificando-a como ativamente explorada em ataques. A vulnerabilidade, identificada como CVE-2025-40551, possui uma pontuação CVSS de 9.8 e refere-se a uma deserialização de dados não confiáveis, que pode permitir a execução remota de código sem necessidade de autenticação. A SolarWinds lançou correções para essa e outras falhas na versão 2026.1 do WHD. Além disso, outras vulnerabilidades críticas em sistemas como Sangoma FreePBX e GitLab também foram adicionadas ao catálogo da CISA. Embora não haja informações públicas sobre como a CVE-2025-40551 está sendo explorada, o alerta destaca a rapidez com que os atores de ameaças estão se movendo para explorar falhas recém-divulgadas. Agências federais dos EUA devem corrigir essa vulnerabilidade até 6 de fevereiro de 2026, e as demais até 24 de fevereiro de 2026, conforme a Diretriz Operacional Vinculante 22-01.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou uma vulnerabilidade crítica no SolarWinds Web Help Desk, classificada como CVE-2025-40551, que está sendo ativamente explorada em ataques. Esta falha de segurança, originada de uma fraqueza na desserialização de dados não confiáveis, permite que atacantes não autenticados executem comandos remotamente em dispositivos não corrigidos. A SolarWinds lançou uma atualização, a versão 2026.1, em 28 de janeiro, para corrigir essa vulnerabilidade, além de outras falhas de segurança significativas. A CISA emitiu uma diretiva exigindo que as agências federais dos EUA aplicassem patches em seus sistemas em um prazo de três dias, embora tenha incentivado também o setor privado a agir rapidamente. O SolarWinds Web Help Desk é amplamente utilizado por agências governamentais e grandes corporações, com mais de 300.000 clientes em todo o mundo. Dada a frequência com que vulnerabilidades desse software têm sido exploradas, a urgência na aplicação de correções é crítica para evitar possíveis compromissos de segurança.

A Alpine Ear, Nose & Throat (AENT) confirmou um vazamento de dados ocorrido em novembro de 2024, afetando 65.648 pessoas. As informações comprometidas incluem números de Seguro Social, dados de cartões de crédito, informações financeiras, médicas e de seguro saúde, além de dados demográficos e datas de nascimento. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque, afirmando ter roubado dados financeiros e de pacientes da instituição. Embora a AENT tenha publicado um aviso preliminar em janeiro de 2025, os detalhes sobre o número de vítimas e os tipos de dados só foram revelados agora. A investigação forense da AENT indicou que houve acesso não autorizado aos sistemas. A empresa está oferecendo monitoramento de crédito gratuito para as vítimas até 30 de abril de 2026. O ataque destaca a crescente preocupação com a segurança cibernética no setor de saúde, onde ataques de ransomware têm se tornado cada vez mais comuns, comprometendo dados sensíveis e colocando em risco a privacidade e a segurança dos pacientes.

O artigo explora o conceito de OSINT (Inteligência de Código Aberto), que se refere à coleta e análise de dados disponíveis publicamente na internet, como redes sociais e sites governamentais. Embora essa prática possa ser utilizada para fins legítimos, como investigações e segurança cibernética, também apresenta riscos significativos, especialmente quando informações pessoais são expostas. O doxing, por exemplo, é uma prática criminosa que envolve a divulgação de dados privados sem consentimento, podendo levar a situações de chantagem e humilhação. O compartilhamento excessivo de informações pessoais, como fotos de viagens ou crachás de trabalho, pode facilitar ataques cibernéticos, pois criminosos podem usar esses dados para realizar engenharia social e fraudes. O artigo alerta para a necessidade de cautela ao compartilhar informações online, destacando que a intersecção de dados pode revelar muito mais do que o esperado. A privacidade na era digital é um paradoxo, pois, ao mesmo tempo em que os usuários desejam compartilhar suas vidas, eles abrem portas para potenciais ameaças. Portanto, é essencial que os indivíduos e empresas estejam cientes dos riscos associados ao OSINT e adotem práticas de segurança para proteger suas informações.

A Marquis Software Solutions, provedora de serviços financeiros do Texas, atribuiu um ataque de ransomware que afetou seus sistemas e impactou dezenas de bancos e cooperativas de crédito nos EUA em agosto de 2025 a uma violação de segurança relatada pela SonicWall um mês depois. A empresa, que fornece ferramentas de análise de dados e marketing digital para mais de 700 instituições financeiras, esclareceu que os atacantes não exploraram uma falha em seu firewall, como se acreditava inicialmente. Em vez disso, eles usaram informações obtidas de arquivos de backup de configuração do firewall, que foram roubados após o acesso não autorizado ao portal online MySonicWall da SonicWall. A Marquis está avaliando suas opções em relação ao provedor de firewall, incluindo a possibilidade de buscar reembolso por despesas relacionadas ao incidente. A SonicWall, que revelou a violação em 17 de setembro, inicialmente informou que apenas 5% de seus clientes de firewall foram afetados, mas posteriormente confirmou que todos os clientes usando seu serviço de backup em nuvem estavam em risco. Investigações indicam que o ataque pode estar ligado a hackers patrocinados pelo estado.

Pesquisadores de segurança estão emitindo alertas sobre implantações inseguras do assistente de IA Moltbot (anteriormente Clawdbot) em ambientes corporativos, que podem resultar em vazamento de chaves de API, tokens OAuth, histórico de conversas e credenciais. Moltbot é um assistente pessoal de IA de código aberto, criado por Peter Steinberger, que pode ser hospedado localmente e integrado a aplicativos do usuário. Embora sua capacidade de operar 24/7 e manter memória persistente tenha impulsionado sua popularidade, a configuração inadequada pode expor dados sensíveis. O pesquisador Jamieson O’Reilly destacou que muitas interfaces de controle do Clawdbot estão expostas online devido a configurações incorretas de proxy reverso, permitindo acesso não autenticado e roubo de credenciais. Além disso, O’Reilly demonstrou um ataque à cadeia de suprimentos contra usuários do Moltbot, onde um módulo malicioso foi promovido na loja oficial. A Token Security identificou que 22% de seus clientes corporativos têm funcionários utilizando Moltbot sem aprovação de TI, aumentando o risco de vazamento de dados corporativos e ataques de injeção de comandos. A falta de sandboxing para o assistente de IA é uma preocupação significativa, pois o agente tem acesso total aos dados do usuário. A segurança da implantação do Moltbot exige conhecimento técnico e medidas rigorosas de isolamento e configuração de firewall.

A Fortinet anunciou a liberação de atualizações de segurança para corrigir uma falha crítica no FortiOS, identificada como CVE-2026-24858, com uma pontuação CVSS de 9.4. Essa vulnerabilidade, que permite a bypass de autenticação no sistema de login único (SSO) do FortiCloud, afeta também o FortiManager e o FortiAnalyzer. A falha possibilita que um atacante com uma conta FortiCloud e um dispositivo registrado consiga acessar outros dispositivos vinculados a contas diferentes, caso a autenticação SSO esteja habilitada. Embora essa funcionalidade não esteja ativada por padrão, a Fortinet alertou que administradores que registram dispositivos no FortiCare podem ativá-la inadvertidamente.

A organização de segurança sem fins lucrativos Shadowserver identificou mais de 6.000 servidores SmarterMail expostos na internet, potencialmente vulneráveis a uma falha crítica de bypass de autenticação. A vulnerabilidade, que foi reportada pela watchTowr à desenvolvedora SmarterTools em 8 de janeiro e corrigida em 15 de janeiro, permite que atacantes não autenticados sequestram contas de administrador e executem código remotamente no servidor afetado. A falha, identificada como CVE-2026-23760, afeta versões do SmarterMail anteriores à build 9511 e permite que um atacante forneça um nome de usuário de administrador e uma nova senha para redefinir a conta, resultando em comprometimento total do sistema. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas, exigindo que agências governamentais dos EUA protejam seus servidores até 16 de fevereiro. Além disso, a pesquisa da Macnica revelou que mais de 8.550 instâncias do SmarterMail ainda estão vulneráveis, destacando a urgência da situação. A exploração dessa vulnerabilidade pode levar a consequências severas, como controle total dos servidores afetados.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de quatro vulnerabilidades em softwares empresariais, incluindo produtos da Versa e Zimbra, além do framework Vite e do formatador de código Prettier. Essas falhas foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, indicando que hackers estão utilizando essas brechas em ataques reais.

Uma das vulnerabilidades, CVE-2025-31125, é uma falha de controle de acesso que pode expor arquivos não permitidos em instâncias de desenvolvimento expostas. Outra, CVE-2025-34026, é uma falha crítica de bypass de autenticação na plataforma Versa Concerto, que permite acesso a endpoints administrativos devido a uma configuração inadequada do proxy reverso Traefik.

A Cloudflare anunciou a correção de uma vulnerabilidade em seu ambiente de validação de certificados, conhecido como ACME (Automatic Certificate Management Environment). A falha, identificada em outubro de 2025, permitia que requisições maliciosas contornassem as regras de segurança, possibilitando o acesso a servidores de origem. A vulnerabilidade estava relacionada à forma como a rede de borda da Cloudflare processava requisições destinadas ao caminho de desafio HTTP-01 do ACME. Quando um token de validação era solicitado, a lógica falhava em verificar se o token correspondia a um desafio ativo, permitindo que atacantes enviassem requisições arbitrárias. A empresa não encontrou evidências de exploração maliciosa, mas a correção foi implementada em 27 de outubro de 2025, ajustando a lógica para desabilitar as funcionalidades do firewall de aplicação web (WAF) apenas quando o token era válido para o hostname específico. Essa vulnerabilidade poderia ser utilizada para acessar arquivos sensíveis nos servidores de origem, aumentando o risco de reconhecimento e exploração de dados. A Cloudflare é amplamente utilizada por empresas em todo o mundo, incluindo no Brasil, o que torna essa correção relevante para a segurança cibernética local.

Uma nova campanha de malvertising está utilizando uma extensão falsa de bloqueio de anúncios chamada NexShield, que causa falhas intencionais nos navegadores Chrome e Edge. Essa extensão, que foi removida da Chrome Web Store, é promovida como uma ferramenta de privacidade, mas na verdade cria uma condição de negação de serviço (DoS) ao gerar conexões em um loop infinito, esgotando os recursos de memória do navegador. Isso resulta em abas congeladas e uso elevado de CPU e RAM, levando o navegador a travar ou falhar. Após a falha, um pop-up enganoso sugere que o usuário escaneie o sistema para localizar problemas, levando-o a executar comandos maliciosos no prompt de comando do Windows. Esses comandos ativam um script PowerShell ofuscado que baixa e executa um malware chamado ModeloRAT, que permite acesso remoto ao sistema. A campanha, atribuída ao ator de ameaças ‘KongTuke’, destaca a evolução das táticas de ataque, visando ambientes corporativos. Para se proteger, os usuários devem evitar instalar extensões de fontes não confiáveis e realizar uma limpeza completa do sistema se a extensão NexShield foi instalada.

A Appalachian Community Federal Credit Union (ACFCU) notificou 30.797 pessoas sobre uma violação de dados ocorrida em outubro de 2025, conforme divulgado pelo procurador-geral do estado de Indiana. A violação comprometeu nomes, números de Seguro Social e informações de contas financeiras. O grupo de ransomware Qilin reivindicou a responsabilidade pelo ataque, alegando ter roubado 75 GB de dados. Embora a ACFCU tenha confirmado a violação em 10 de outubro, não está claro se a instituição pagou um resgate ou como os atacantes conseguiram acessar sua rede. Para mitigar os danos, a ACFCU está oferecendo monitoramento de crédito gratuito aos afetados, com um prazo de 90 dias para inscrição. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e por operar um modelo de ransomware como serviço, sendo responsável por mais de 1.000 ataques em 2025. A violação da ACFCU não é um caso isolado, já que o grupo também atacou outras instituições financeiras nos EUA, levantando preocupações sobre a segurança cibernética no setor financeiro.

Especialistas em segurança revelaram uma campanha ativa de malware que explora uma vulnerabilidade de side-loading de DLL em um binário legítimo associado à biblioteca open-source c-ares. Os atacantes utilizam uma versão maliciosa da libcares-2.dll em conjunto com qualquer versão assinada do ahost.exe, frequentemente renomeada, para executar seu código e contornar defesas de segurança tradicionais. A campanha tem distribuído uma variedade de malwares, incluindo trojans como Agent Tesla e CryptBot, visando principalmente funcionários de setores como finanças e cadeia de suprimentos, com iscas em vários idiomas, incluindo português. O ataque se aproveita da técnica de hijacking da ordem de busca, permitindo que o malware execute o conteúdo da DLL maliciosa em vez da legítima. Além disso, a Trellix reportou um aumento em fraudes de phishing no Facebook, utilizando a técnica Browser-in-the-Browser para enganar usuários e roubar credenciais. A análise destaca a crescente sofisticação dos ataques que abusam de softwares legítimos e serviços de nuvem para evitar detecções e garantir acesso remoto persistente.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-8110, permite a execução remota de código (RCE) não autenticada por meio da API PutContents, comprometendo servidores Gogs. Com um índice de severidade de 8.7/10, a CISA ordenou que as agências federais apliquem um patch até 2 de fevereiro de 2026, ou cessem o uso do software vulnerável. O Gogs é um serviço de Git auto-hospedado, frequentemente utilizado em ambientes de desenvolvimento interno e redes isoladas. Pesquisadores da Wiz Research relataram que mais de 700 servidores Gogs já foram comprometidos, com ataques em andamento desde novembro de 2025. A correção disponível no GitHub implementa validação de caminho ciente de symlink em todos os pontos de entrada de escrita de arquivos, mitigando a vulnerabilidade. A situação destaca a necessidade urgente de atualização por parte das organizações que utilizam essa plataforma, uma vez que mais de 1.400 servidores Gogs estão expostos online.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade de alta severidade no Gogs, identificada como CVE-2025-8110, com uma pontuação CVSS de 8.7. Essa falha, relacionada a uma vulnerabilidade de travessia de caminho no editor de arquivos do repositório, pode permitir a execução de código malicioso. A CISA destacou que a vulnerabilidade permite que atacantes contornem proteções existentes, criando um repositório Git e utilizando a API PutContents para escrever dados em um link simbólico que aponta para um arquivo sensível, resultando na sobrescrição de arquivos de configuração do Git. A Wiz, empresa de segurança que descobriu a exploração em ataques zero-day, identificou 700 instâncias do Gogs comprometidas. Embora não existam patches disponíveis no momento, alterações de código necessárias foram feitas e aguardam a construção da nova imagem. Enquanto isso, os usuários do Gogs são aconselhados a desativar o registro aberto padrão e restringir o acesso ao servidor. Agências do governo dos EUA têm até 2 de fevereiro de 2026 para aplicar as mitig ações necessárias.

Recentemente, atores de ameaça associados ao governo russo, identificados como APT28 (também conhecido como BlueDelta), foram vinculados a uma série de ataques de coleta de credenciais. Os alvos incluem indivíduos ligados a uma agência de pesquisa energética e nuclear da Turquia, além de funcionários de um think tank europeu e organizações na Macedônia do Norte e Uzbequistão. Os ataques, que ocorreram entre fevereiro e setembro de 2025, utilizaram páginas de login falsas que imitavam serviços populares como Microsoft Outlook e Google, redirecionando os usuários para sites legítimos após a inserção de credenciais, o que dificultou a detecção. A campanha se destacou pelo uso de documentos PDF legítimos como iscas, incluindo publicações relacionadas a conflitos geopolíticos. A APT28 demonstrou uma dependência contínua de serviços de internet legítimos para hospedar suas páginas de phishing, o que ressalta a eficácia e a sofisticação de suas táticas. A empresa Recorded Future destacou que esses ataques refletem o interesse da inteligência russa em organizações ligadas à pesquisa energética e à cooperação em defesa.

Uma nova campanha de phishing tem utilizado o Google Cloud para roubar credenciais de login de empresas em todo o mundo, conforme identificado por pesquisadores da Check Point. O ataque já afetou mais de 3 mil organizações, com a maioria das vítimas localizadas nos Estados Unidos, Brasil e México. Os hackers exploram a ferramenta Google Cloud Application Integration para enviar e-mails maliciosos que parecem legítimos, utilizando domínios reais do Google. Isso permite que os filtros de segurança não sejam acionados, levando os funcionários a clicarem em links fraudulentos.

O Brasil enfrenta uma crescente onda de golpes digitais, que utilizam engenharia social, inteligência artificial e automação para enganar vítimas. Os golpistas se aproveitam de eventos de grande visibilidade, como a declaração do Imposto de Renda e programas sociais, para criar campanhas de phishing que induzem as pessoas a fornecer dados pessoais ou realizar transferências via Pix. O uso de canais variados, como e-mails, SMS (smishing) e redes sociais, amplia o alcance dessas fraudes. Técnicas como vishing, whaling e clone phishing são comuns, e a clonagem de contas de WhatsApp se tornou uma prática recorrente, onde golpistas se passam por conhecidos para solicitar dinheiro. Para se proteger, é essencial ativar a verificação em duas etapas e estar atento a mensagens suspeitas. O aumento de 80% nas tentativas de phishing no Brasil, com mais de 553 milhões de ataques bloqueados em um ano, destaca a urgência de medidas de segurança mais robustas tanto para indivíduos quanto para empresas.

Uma operação coordenada pela INTERPOL, chamada Operação Sentinel, resultou na recuperação de US$ 3 milhões e na prisão de 574 suspeitos em 19 países africanos, entre 27 de outubro e 27 de novembro de 2025. A ação focou em crimes cibernéticos como comprometimento de e-mails empresariais (BEC), extorsão digital e ransomware. Entre os países participantes estão Gana, Nigéria, África do Sul e Uganda. Durante a operação, mais de 6.000 links maliciosos foram removidos e seis variantes de ransomware foram descriptografadas. Um ataque específico a uma instituição financeira em Gana criptografou 100 terabytes de dados e resultou em um roubo de cerca de US$ 120.000. Além disso, uma rede de fraudes cibernéticas que operava entre Gana e Nigéria foi desmantelada, resultando em 10 prisões e a apreensão de 100 dispositivos digitais. Neal Jetton, diretor de cibercrime da INTERPOL, destacou que a sofisticação dos ataques cibernéticos na África está aumentando, especialmente contra setores críticos como finanças e energia. A Operação Sentinel faz parte da Iniciativa Africana Conjunta de Combate ao Cibercrime (AFJOC), que visa fortalecer as capacidades das agências de segurança na região.

Com a chegada das festividades de fim de ano, o aumento das compras online traz também um alerta sobre os golpes digitais. Segundo a plataforma SOS Golpe, quase 50% das denúncias em 2025 estão relacionadas a fraudes em e-commerce. Além disso, um estudo do Data Senado revela que mais de 40 milhões de brasileiros já sofreram prejuízos financeiros devido a crimes digitais. Os criminosos aproveitam a alta demanda por compras para disseminar promoções falsas, links maliciosos e criar lojas fraudulentas que imitam grandes varejistas. Para se proteger, especialistas recomendam a ativação da Autenticação Multifator (MFA), que exige múltiplas verificações para o acesso a contas. O uso de biometria, como impressões digitais e reconhecimento facial, também é uma medida eficaz. É crucial evitar redes Wi-Fi públicas ao realizar transações sensíveis e utilizar gerenciadores de senhas para manter a segurança das credenciais. Além disso, é importante desconfiar de ofertas que parecem boas demais para serem verdade e verificar a autenticidade das lojas antes de realizar compras. Com essas precauções, os consumidores podem reduzir significativamente o risco de se tornarem vítimas de fraudes digitais durante as compras de fim de ano.

A LKQ, uma empresa americana de peças automotivas e equipamentos reciclados, confirmou que foi afetada por uma violação de dados relacionada ao Oracle E-Business Suite (EBS). O incidente, que ocorreu em 9 de agosto de 2025, resultou na exposição de informações sensíveis de aproximadamente 9.000 pessoas, incluindo números de identificação do empregador (EIN) e números de seguridade social (SSN). A investigação interna da LKQ, iniciada em 3 de outubro e concluída em 1º de dezembro, revelou que a exploração da vulnerabilidade CVE-2022-21587 permitiu que o grupo cibercriminoso Cl0p acessasse e roubasse terabytes de dados da empresa. A LKQ notificou as autoridades competentes e ofereceu serviços de monitoramento de crédito e restauração de identidade aos indivíduos afetados por um período de dois anos. Embora a empresa tenha afirmado que não houve impacto em seus sistemas além do ambiente EBS, o ataque destaca a crescente lista de vítimas que enfrentaram problemas semelhantes, incluindo Harvard e The Washington Post. A situação ressalta a necessidade de reforçar a segurança em sistemas amplamente utilizados, como o Oracle EBS, que é vulnerável a ataques cibernéticos.

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, está conduzindo uma campanha de roubo de credenciais direcionada a usuários do serviço de webmail e notícias UKR.net, popular na Ucrânia. Observada entre junho de 2024 e abril de 2025 pela Recorded Future, essa atividade se baseia em ataques anteriores que utilizavam malware e páginas de phishing. APT28, também conhecido como Fancy Bear, é associado ao GRU, a principal agência de inteligência militar da Rússia.

O grupo de hackers pró-Rússia conhecido como CyberVolk lançou um novo ransomware chamado VolkLocker, que encripta arquivos e exige pagamento em bitcoin para a recuperação. No entanto, uma falha crítica na implementação do malware permite que as vítimas recuperem seus arquivos sem pagar o resgate. A pesquisa da SentinelOne revelou que a chave-mestra do ransomware está hard-coded nos arquivos binários e também é armazenada em texto claro na pasta temporária do sistema, facilitando a recuperação dos dados. O VolkLocker afeta sistemas operacionais Windows e Linux e utiliza o algoritmo de encriptação AES-256. Após a infecção, o ransomware tenta evitar a detecção, desativando o Microsoft Defender e excluindo arquivos de backup. O grupo CyberVolk, que começou suas operações em 2024, também oferece outros serviços maliciosos, como trojans e keyloggers. Este incidente destaca a importância de medidas de segurança robustas e a necessidade de conscientização sobre as vulnerabilidades que podem ser exploradas por ransomware.

O grupo hacktivista pro-Rússia conhecido como CyberVolk, também chamado de GLORIAMIST, voltou a atuar com uma nova oferta de ransomware como serviço (RaaS) chamada VolkLocker. Lançado em agosto de 2025, o VolkLocker é capaz de atacar sistemas Windows e Linux, utilizando a linguagem de programação Golang. Apesar de suas características típicas de ransomware, como a modificação do Registro do Windows e a exclusão de cópias de sombra, uma análise revelou uma falha crítica: as chaves mestres do ransomware estão codificadas nos binários e são armazenadas em um arquivo de texto simples na pasta %TEMP%, permitindo que as vítimas recuperem seus arquivos sem pagar o resgate. O ransomware utiliza criptografia AES-256 em modo Galois/Counter (GCM) e impõe um timer que apaga pastas do usuário se o pagamento não for realizado em 48 horas ou se a chave de descriptografia for inserida incorretamente três vezes. O CyberVolk também oferece um trojan de acesso remoto e um keylogger, ampliando sua estratégia de monetização. A operação é gerenciada via Telegram, com preços variando de $800 a $2,200, dependendo do sistema operacional. Apesar das tentativas de banimento de contas no Telegram, o grupo conseguiu restabelecer suas operações, refletindo uma tendência crescente entre grupos de ameaças politicamente motivadas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade, identificada como CVE-2018-4063, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que afeta os roteadores Sierra Wireless AirLink ALEOS, permite o upload não restrito de arquivos, possibilitando a execução remota de código malicioso através de requisições HTTP manipuladas. O problema foi identificado inicialmente em 2018 e, apesar de ter sido reportado, continua a ser explorado ativamente. A vulnerabilidade é particularmente crítica, pois permite que um atacante, ao fazer uma requisição HTTP autenticada, faça upload de um arquivo que pode substituir arquivos existentes no dispositivo, herdando suas permissões de execução. Isso é agravado pelo fato de que o ACEManager opera com privilégios elevados, permitindo que scripts maliciosos sejam executados com permissões de root. A CISA recomenda que as agências federais atualizem seus dispositivos até 2 de janeiro de 2026, data em que o suporte para o produto será encerrado. A análise de honeypots revelou que roteadores industriais são os dispositivos mais atacados em ambientes de tecnologia operacional, destacando a necessidade urgente de mitigação e atualização de sistemas.

Uma grave vulnerabilidade foi descoberta em dispositivos da série AG da Array Networks, que utilizam VPN. Essa falha permite que hackers injetem comandos maliciosos, instalando web shells e criando usuários não autorizados nos sistemas afetados. A vulnerabilidade foi corrigida em uma atualização em maio de 2025, mas a falta de um identificador dificultou o rastreamento da falha. Especialistas do Japão alertaram que a vulnerabilidade está sendo explorada desde agosto, com ataques direcionados a organizações locais. Os incidentes envolvem a execução de comandos que permitem o acesso remoto ao servidor comprometido, resultando em controle total do sistema. A falha afeta modelos AG 9.4.5.8 e versões anteriores, especialmente em ambientes corporativos que utilizam o recurso DesktopDirect, que facilita o acesso remoto. A JPCERT recomendou que os usuários desativem o DesktopDirect e implementem filtros de URL até que novas atualizações sejam disponibilizadas. A Array Networks ainda não se pronunciou sobre os incidentes ou se haverá uma nova correção.

Nos últimos anos, a evolução dos navegadores de internet tem sido marcada pela introdução de navegadores de IA, que atuam como agentes autônomos, capazes de realizar ações em nome dos usuários, como reservar voos ou preencher formulários. Essa mudança representa um desafio significativo para a segurança cibernética, pois esses navegadores exigem altos níveis de privilégio para operar, o que aumenta a superfície de ataque. A nova arquitetura de navegadores de IA, como o ChatGPT Atlas, transforma a interação do usuário com a internet, passando de uma abordagem passiva para uma ativa, onde o navegador não apenas exibe informações, mas também executa comandos de forma autônoma. Isso levanta preocupações sobre a segurança dos dados sensíveis, já que esses navegadores precisam acessar informações como credenciais e dados pessoais identificáveis (PII). O risco de injeção de comandos maliciosos, onde um ator mal-intencionado pode manipular o navegador para exfiltrar dados, é uma das principais ameaças identificadas. Para mitigar esses riscos, as organizações devem auditar seus sistemas, restringir o acesso a recursos sensíveis e implementar camadas adicionais de segurança. O artigo destaca a necessidade urgente de os profissionais de segurança se adaptarem a essa nova realidade, considerando os navegadores de IA como uma nova classe de risco em seus ambientes.

O trabalho remoto, intensificado pela pandemia, trouxe à tona questões de segurança cibernética, mas não é o único responsável pelas brechas de dados. O artigo analisa como a combinação de falhas históricas, como credenciais expostas, controles fracos de terceiros e configurações inadequadas de serviços em nuvem, contribuiu para os incidentes de segurança em 2025. Embora o trabalho remoto tenha ampliado os riscos, ele não é o único fator. As investigações revelam que muitos ataques foram facilitados por erros humanos e vulnerabilidades em sistemas legados, independentemente da localização dos funcionários. Para mitigar esses riscos, os líderes empresariais devem priorizar a gestão de identidade, fortalecer a segurança de terceiros, corrigir desvios de configuração e medir métricas relevantes. O foco deve ser em sistemas e processos, em vez de culpar o trabalho remoto, para garantir uma abordagem mais eficaz na segurança cibernética.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre duas vulnerabilidades críticas nos firewalls da Cisco, identificadas como CVE-2025-20333 e CVE-2025-20362. Essas falhas, descobertas em setembro de 2025, estão sendo ativamente exploradas por grupos de ataque, incluindo a campanha ArcaneDoor, que tem como alvo redes governamentais. Apesar das diretrizes de emergência da CISA, que exigiam que as agências federais aplicassem patches em 24 horas, mais de 32.000 dispositivos ainda permanecem vulneráveis. A CISA observou que várias organizações acreditavam ter aplicado as atualizações necessárias, mas não o fizeram corretamente, o que as deixou expostas a ataques de malware e ransomware. A Cisco já havia alertado que as falhas eram exploradas como zero-days, afetando dispositivos da série 5500-X com serviços web habilitados. A CISA recomenda que todas as organizações verifiquem se as atualizações corretas foram aplicadas e sugere ações adicionais para mitigar os riscos em dispositivos ainda não atualizados.

Um novo relatório da CISA (Agência de Segurança Cibernética e Infraestrutura) revela que o grupo de ransomware Akira impactou mais de 250 organizações na América do Norte, Europa e Austrália desde março de 2023, coletando cerca de 42 milhões de dólares em resgates. O grupo, que visa principalmente pequenas e médias empresas, também comprometeu grandes organizações em setores críticos como manufatura, educação, TI, saúde, serviços financeiros e agricultura. O modelo de extorsão dupla utilizado pelo Akira envolve a exfiltração de dados sensíveis antes de criptografar os arquivos das vítimas, ameaçando vazamentos públicos caso o pagamento não seja feito. Desde abril de 2023, o Akira expandiu suas operações para incluir variantes que atacam sistemas Linux, demonstrando uma evolução técnica significativa. As táticas de ataque incluem a exploração de vulnerabilidades em produtos VPN não corrigidos, phishing direcionado e ataques de força bruta. A CISA recomenda que as organizações priorizem a correção de vulnerabilidades conhecidas, implementem autenticação multifator resistente a phishing e mantenham backups offline testados. O impacto do Akira ressalta a necessidade urgente de aprimorar a detecção de ameaças e preparar planos de resposta abrangentes.

Uma vulnerabilidade crítica de execução remota de código foi descoberta e corrigida no Imunify360 AV, um produto de segurança que protege aproximadamente 56 milhões de websites em todo o mundo. A falha, identificada em versões anteriores à v32.7.4.0, permite que atacantes executem comandos arbitrários em servidores vulneráveis, comprometendo completamente o ambiente de hospedagem. A vulnerabilidade se origina de uma lógica de desofuscação defeituosa que processa funções não confiáveis e cargas úteis extraídas de amostras de malware fornecidas por atacantes. O Imunify360 AV, que opera com privilégios de root por padrão, aumenta os riscos de escalonamento em ambientes de hospedagem compartilhada. A empresa-mãe, CloudLinux, não emitiu um aviso oficial sobre a segurança, embora a gravidade do problema tenha sido documentada em seu portal de suporte. Administradores que utilizam versões afetadas devem aplicar atualizações de segurança imediatamente ou, se não for possível, restringir o ambiente de execução. Este é o segundo incidente crítico de RCE no Imunify360, seguindo um evento semelhante em 2021.

A cibersabotagem, especialmente por governos autoritários, está se tornando uma preocupação global crescente, conforme destacado por Mike Burgess, diretor-geral da Organização Australiana de Inteligência de Segurança (ASIO). Em um discurso recente, Burgess alertou sobre a disposição de regimes totalitários em utilizar técnicas de cibersabotagem para interromper ou destruir infraestruturas críticas, como redes de telecomunicação e sistemas financeiros. Ele mencionou que incidentes recentes na Austrália, que resultaram em interrupções significativas, podem ter consequências fatais, como a morte de três pessoas.

A criptografia é fundamental para a segurança digital, protegendo dados sensíveis contra acessos não autorizados. No entanto, a ascensão dos computadores quânticos representa um desafio significativo para os métodos tradicionais de criptografia, como RSA e ECC, que se baseiam em problemas matemáticos complexos. Esses computadores têm a capacidade de resolver esses problemas de forma muito mais eficiente, o que pode comprometer a segurança de dados criptografados. Especialistas preveem que computadores quânticos funcionais poderão estar disponíveis em até dez anos, levando a um cenário preocupante onde atacantes coletam dados criptografados na expectativa de decifrá-los no futuro.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica no firewall WatchGuard Firebox, identificada como CVE-2025-9242. Essa falha, classificada como um erro de gravação fora dos limites (out-of-bounds write), permite que atacantes remotos e não autenticados explorem a vulnerabilidade sem necessidade de credenciais. A exploração dessa falha pode resultar em controle total sobre os dispositivos afetados, comprometendo a segurança da rede. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV) após a confirmação de sua exploração ativa. A agência estabeleceu um prazo rigoroso até 3 de dezembro de 2025 para que as organizações implementem correções, enfatizando a urgência da situação. As organizações são aconselhadas a verificar a disponibilidade de patches e a revisar logs de firewall em busca de atividades suspeitas. Embora não tenham sido relatadas campanhas de ransomware explorando essa vulnerabilidade até o momento, a CISA alerta que a ausência de ataques não deve ser interpretada como segurança. A falha representa um risco significativo para a integridade da rede e a proteção de dados sensíveis.

Pesquisadores estão observando um aumento nas campanhas de malware para macOS que utilizam arquivos AppleScript (.scpt) para entregar stealer e instaladores de atualizações falsas disfarçados como documentos de escritório legítimos ou atualizações do Zoom e Microsoft Teams. Essa técnica, anteriormente associada a operações de APT que visavam o macOS, agora está sendo reaproveitada por famílias de malware como MacSync e Odyssey Stealer. Após a remoção, em agosto de 2024, da opção de contornar o Gatekeeper com o ‘clique direito e abrir’, os atacantes têm experimentado novos métodos de interação com o usuário para executar códigos maliciosos. Os arquivos .scpt maliciosos são abertos pelo Script Editor.app, permitindo que os atacantes ocultem o código malicioso em comentários, levando as vítimas a executar comandos prejudiciais sem perceber. Exemplos recentes incluem documentos falsos e scripts de atualização que, ao serem abertos, podem buscar cargas secundárias ou executar comandos ocultos. A detecção de malware por antivírus tradicionais é inconsistente, e recomenda-se que os defensores monitorem as execuções iniciadas pelo Script Editor.app e tratem arquivos com extensões suspeitas como .docx.scpt e .pptx.scpt com cautela. Para mitigar esses riscos, sugere-se alterar o manipulador padrão para editores não executáveis como o TextEdit.

Uma nova campanha de phishing está explorando a infraestrutura confiável do Facebook para roubar credenciais de negócios em larga escala. Pesquisadores da Check Point descobriram que atacantes estão utilizando o domínio facebookmail.com e o recurso de convite do Meta Business Suite para enviar dezenas de milhares de e-mails de phishing convincentes, conseguindo contornar filtros de segurança tradicionais. Os e-mails, que parecem notificações legítimas do Meta, têm linhas de assunto urgentes como ‘Convite de Parceiro da Meta’ e são enviados de endereços autênticos, eliminando um dos principais sinais de alerta para os usuários.

A Synology divulgou uma atualização crítica para corrigir uma vulnerabilidade severa no BeeStation OS, identificada durante o evento PWN2OWN 2025. A falha, classificada como CVE-2025-12686, permite que atacantes remotos executem código arbitrário sem necessidade de autenticação ou interação do usuário, representando uma ameaça imediata para os dispositivos afetados. Essa vulnerabilidade é resultado de uma fraqueza de buffer overflow no sistema operacional, que possibilita a violação de limites de rede e a comprometimento de sistemas. Com uma pontuação CVSS de 9.8, a vulnerabilidade exige ação imediata dos usuários, pois a exploração bem-sucedida concede controle total sobre os sistemas BeeStation, permitindo o roubo de dados sensíveis e a movimentação lateral na rede. Todas as versões do BeeStation OS, de 1.0 a 1.3, estão vulneráveis, e a Synology recomenda que os usuários atualizem para a versão 1.3.2-65648 ou superior. A atualização unificada corrige a falha em todas as versões afetadas, e é crucial que os usuários verifiquem imediatamente a versão do seu sistema e apliquem o patch. Além disso, é aconselhável monitorar atividades suspeitas, especialmente se houver suspeita de comprometimento antes da atualização.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade crítica de execução remota de código (RCE) que afeta dispositivos móveis da Samsung. A falha, localizada na biblioteca libimagecodec.quram.so, permite que atacantes contornem restrições normais de memória e injetem código arbitrário nos dispositivos. Isso possibilita que invasores obtenham controle total sobre os smartphones afetados, sem necessidade de interação do usuário. A vulnerabilidade é classificada como CWE-787 (Escrita Fora dos Limites) e está sendo ativamente explorada em ataques, embora a extensão e os atores específicos ainda estejam sob investigação. A CISA recomenda que os usuários apliquem imediatamente os patches de segurança disponibilizados pela Samsung e, para aqueles que não puderem aplicar as atualizações, é aconselhável interromper o uso dos dispositivos afetados até que as correções estejam disponíveis. A Samsung foi notificada e deve liberar atualizações de segurança através de seus canais habituais. Este incidente ressalta os riscos contínuos associados à segurança de dispositivos móveis e a importância de manter os dispositivos atualizados.